导 读
趋势科技发现高级威胁组织利用最近修补的 OSGeo GeoServer GeoTools 严重安全漏洞,针对亚太敏感地区。
此次攻击活动由趋势科技于 2024 年 7 月检测到,并被归属于一个名为“ Earth Baxia”的黑客组织。
研究人员 Ted Lee、Cyris Tseng、Pierre Lee、Sunny Lu 和 Philip Chen 表示:“根据收集到的网络钓鱼电子邮件、诱饵文件和事件观察,主要目标是亚太敏感地区的政府机构、电信企业和能源行业。”
多阶段感染链利用两种不同的技术,使用鱼叉式网络钓鱼电子邮件和利用 GeoServer 漏洞(CVE-2024-36401,CVSS 评分:9.8),最终传播 Cobalt Strike 和一个代号为 EAGLEDOOR 的以前未知的后门,用于收集信息和传递有效载荷。
Cobalt Strike 组件的执行流程
研究人员指出:“攻击者采用GrimResource和AppDomainManager 注入来部署额外的有效载荷,旨在降低受害者的警惕性”,并补充说,前一种方法用于通过嵌入在 ZIP 存档附件中的名为 RIPCOY 的诱饵 MSC 文件下载下一阶段的恶意软件。
日本网络安全公司NTT Security Holdings近期披露了一个与APT41有关联的活动集群,据称该集群使用相同的两种技术针对亚太敏感地区能源组织。
鉴于模仿 Amazon Web Services、Microsoft Azure(例如“s3cloud-azure”、“s2cloud-amazon”、“s3bucket-azure”和“s3cloud-azure”)以及趋势科技本身(“trendmicrotech”)的 Cobalt Strike 命令和控制 (C2) 域的重叠使用,这两组入侵事件很可能有关联。
攻击的最终目标是部署 Cobalt Strike 的自定义变体,该变体通过 DLL 侧加载启动 EAGLEDOOR 后门(“Eagle.dll”)。
该恶意软件支持通过 DNS、HTTP、TCP 和 Telegram 四种方式与 C2 服务器通信。前三种协议用于传输受害者状态,而核心功能是通过 Telegram Bot API 实现的,用于上传和下载文件,并执行其他有效负载。收集的数据通过 curl.exe 泄露。
curl.exe 的泄露过程
攻击者使用 GeoServer 漏洞利用、鱼叉式网络钓鱼和定制恶意软件(Cobalt Strike 和 EAGLEDOOR)等先进技术来渗透和窃取数据。使用公共云服务托管恶意文件以及 EAGLEDOOR 的多协议支持凸显了其操作的复杂性和适应性。
技术报告:https://www.trendmicro.com/en_us/research/24/i/earth-baxia-spear-phishing-and-geoserver-exploit.html
链接:
https://thehackernews.com/2024/09/chinese-hackers-exploit-geoserver-flaw.html
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):黑客利用 GeoServer 漏洞传播 EAGLEDOOR 后门针对亚太目标
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论