Uma suspeita de ameaça persistente avançada (APT) originária da China teve como alvo uma organização governamental em Taiwan e possivelmente outros países na região da Ásia-Pacífico (APAC), explorando uma falha crítica de segurança corrigida recentemente que afetava o OSGeo GeoServer GeoTools.
A atividade de intrusão, que foi detectada pela Development Micro em julho de 2024, foi atribuída a um agente de ameaça denominado Terra Baxia.
“Com base nos e-mails de phishing coletados, documentos falsos e observações de incidentes, parece que os alvos são principalmente agências governamentais, empresas de telecomunicações e o setor de energia nas Filipinas, Coreia do Sul, Vietnã, Taiwan e Tailândia”, disseram os pesquisadores Ted Lee, Cyris Tseng, Pierre Lee, Sunny Lu e Philip Chen.
A descoberta de documentos de isca em chinês simplificado indica que a China também é um dos países afetados, embora a empresa de segurança cibernética tenha dito que não tem informações suficientes para determinar quais setores do país foram afetados.
O processo de cadeia de infecção em vários estágios utiliza duas técnicas diferentes, usando e-mails de spear-phishing e a exploração da falha do GeoServer (CVE-2024-36401, pontuação CVSS: 9,8), para finalmente entregar o Cobalt Strike e um backdoor até então desconhecido com o codinome EAGLEDOOR, que permite a coleta de informações e a entrega de carga útil.
“O agente da ameaça utiliza a injeção de GrimResource e AppDomainManager para implantar cargas adicionais, com o objetivo de baixar a guarda da vítima”, observaram os pesquisadores, acrescentando que o primeiro método é usado para baixar malware de próximo estágio por meio de um arquivo MSC falso chamado RIPCOY incorporado em um anexo de arquivo ZIP.
Vale a pena mencionar aqui que a empresa japonesa de segurança cibernética NTT Safety Holdings detalhou recentemente um grupo de atividades com hyperlinks para o APT41 que, segundo ela, usou as mesmas duas técnicas para atingir Taiwan, as forças armadas das Filipinas e organizações de energia vietnamitas.
É provável que esses dois conjuntos de intrusão estejam relacionados, dado o uso sobreposto de domínios de comando e controle (C2) do Cobalt Strike que imitam o Amazon Net Providers, o Microsoft Azure (por exemplo, “s3cloud-azure”, “s2cloud-amazon”, “s3bucket-azure” e “s3cloud-azure”) e a própria Development Micro (“trendmicrotech”).
O objetivo remaining dos ataques é implantar uma variante personalizada do Cobalt Strike, que atua como uma plataforma de lançamento para o backdoor EAGLEDOOR (“Eagle.dll”) por meio de carregamento lateral de DLL.
O malware suporta quatro métodos para se comunicar com o servidor C2 por DNS, HTTP, TCP e Telegram. Enquanto os três primeiros protocolos são usados para transmitir o standing da vítima, a funcionalidade principal é realizada por meio da API do Telegram Bot para carregar e baixar arquivos e executar payloads adicionais. Os dados coletados são exfiltrados through curl.exe.
“A Earth Baxia, provavelmente sediada na China, conduziu uma campanha sofisticada visando setores governamentais e de energia em vários países da APAC”, apontaram os pesquisadores.
“Eles usaram técnicas avançadas como exploração do GeoServer, spear-phishing e malware personalizado (Cobalt Strike e EAGLEDOOR) para infiltrar e exfiltrar dados. O uso de serviços de nuvem pública para hospedar arquivos maliciosos e o suporte multiprotocolo do EAGLEDOOR destacam a complexidade e a adaptabilidade de suas operações.”