黑客利用 GeoServer 漏洞传播 EAGLEDOOR 后门针对亚太目标

admin 2024年9月24日10:17:56评论9 views字数 1316阅读4分23秒阅读模式

导 

趋势科技发现高级威胁组织利用最近修补的 OSGeo GeoServer GeoTools 严重安全漏洞,针对亚太敏感地区。

黑客利用 GeoServer 漏洞传播 EAGLEDOOR 后门针对亚太目标

此次攻击活动由趋势科技于 2024 年 7 月检测到,并被归属于一个名为“ Earth Baxia”的黑客组织。

研究人员 Ted Lee、Cyris Tseng、Pierre Lee、Sunny Lu 和 Philip Chen 表示:“根据收集到的网络钓鱼电子邮件、诱饵文件和事件观察,主要目标是亚太敏感地区的政府机构、电信企业和能源行业。”

多阶段感染链利用两种不同的技术,使用鱼叉式网络钓鱼电子邮件和利用 GeoServer 漏洞(CVE-2024-36401,CVSS 评分:9.8),最终传播 Cobalt Strike 和一个代号为 EAGLEDOOR 的以前未知的后门,用于收集信息和传递有效载荷。

黑客利用 GeoServer 漏洞传播 EAGLEDOOR 后门针对亚太目标

Cobalt Strike 组件的执行流程

研究人员指出:“攻击者采用GrimResource和AppDomainManager 注入来部署额外的有效载荷,旨在降低受害者的警惕性”,并补充说,前一种方法用于通过嵌入在 ZIP 存档附件中的名为 RIPCOY 的诱饵 MSC 文件下载下一阶段的恶意软件

黑客利用 GeoServer 漏洞传播 EAGLEDOOR 后门针对亚太目标

日本网络安全公司NTT Security Holdings近期披露了一个与APT41有关联的活动集群,据称该集群使用相同的两种技术针对亚太敏感地区能源组织。

鉴于模仿 Amazon Web Services、Microsoft Azure(例如“s3cloud-azure”、“s2cloud-amazon”、“s3bucket-azure”和“s3cloud-azure”)以及趋势科技本身(“trendmicrotech”)的 Cobalt Strike 命令和控制 (C2) 域的重叠使用,这两组入侵事件很可能有关联。

攻击的最终目标是部署 Cobalt Strike 的自定义变体,该变体通过 DLL 侧加载启动 EAGLEDOOR 后门(“Eagle.dll”)。

恶意软件支持通过 DNS、HTTP、TCP 和 Telegram 四种方式与 C2 服务器通信。前三种协议用于传输受害者状态,而核心功能是通过 Telegram Bot API 实现的,用于上传和下载文件,并执行其他有效负载。收集的数据通过 curl.exe 泄露。

黑客利用 GeoServer 漏洞传播 EAGLEDOOR 后门针对亚太目标

curl.exe 的泄露过程

攻击者使用 GeoServer 漏洞利用、鱼叉式网络钓鱼和定制恶意软件(Cobalt Strike 和 EAGLEDOOR)等先进技术来渗透和窃取数据。使用公共云服务托管恶意文件以及 EAGLEDOOR 的多协议支持凸显了其操作的复杂性和适应性。

技术报告:https://www.trendmicro.com/en_us/research/24/i/earth-baxia-spear-phishing-and-geoserver-exploit.html

链接:

https://thehackernews.com/2024/09/chinese-hackers-exploit-geoserver-flaw.html

黑客利用 GeoServer 漏洞传播 EAGLEDOOR 后门针对亚太目标

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):黑客利用 GeoServer 漏洞传播 EAGLEDOOR 后门针对亚太目标

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月24日10:17:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客利用 GeoServer 漏洞传播 EAGLEDOOR 后门针对亚太目标https://cn-sec.com/archives/3201316.html

发表评论

匿名网友 填写信息