Een vermoedelijke geavanceerde persistente dreiging (APT) afkomstig uit China richtte zich op een overheidsorganisatie in Taiwan en mogelijk andere landen in de regio Azië-Pacific (APAC). De aanval maakte gebruik van een onlangs gepatchte kritieke beveiligingsfout die gevolgen had voor OSGeo GeoServer GeoTools.
De inbraakactiviteit, die in juli 2024 door Trend Micro werd gedetecteerd, wordt toegeschreven aan een dreigingsactor die bekend staat als Aarde Baxia.
“Op basis van de verzamelde phishing-e-mails, lokdocumenten en observaties van incidenten, lijkt het erop dat de doelwitten voornamelijk overheidsinstanties, telecommunicatiebedrijven en de energiesector in de Filipijnen, Zuid-Korea, Vietnam, Taiwan en Thailand zijn”, aldus onderzoekers Ted Lee, Cyris Tseng, Pierre Lee, Sunny Lu en Philip Chen.
De ontdekking van lokdocumenten in Vereenvoudigd Chinees wijst erop dat China ook een van de getroffen landen is. Het cybersecuritybedrijf zegt echter niet over voldoende informatie te beschikken om te bepalen welke sectoren binnen het land specifiek zijn getroffen.
Het meerfasenproces van de infectieketen maakt gebruik van twee verschillende technieken: spear-phishingmails en het misbruiken van het GeoServer-lek (CVE-2024-36401, CVSS-score: 9,8). Dit resulteert uiteindelijk in Cobalt Strike en een tot nu toe onbekende backdoor met de codenaam EAGLEDOOR, waarmee informatie kan worden verzameld en payloads kunnen worden afgeleverd.
“De aanvaller gebruikt GrimResource- en AppDomainManager-injectie om extra payloads te implementeren, met als doel de waakzaamheid van het slachtoffer te verlagen”, merkten de onderzoekers op. De eerste methode wordt gebruikt om malware van de volgende fase te downloaden via een MSC-bestand met de naam RIPCOY, dat is ingebed in een ZIP-archiefbijlage.
Het is hierbij vermeldenswaardig dat het Japanse cybersecuritybedrijf NTT Security Holdings onlangs een activiteitencluster heeft beschreven met links naar APT41. Volgens het bedrijf werden dezelfde twee technieken gebruikt om Taiwan, het Filipijnse leger en Vietnamese energiebedrijven aan te vallen.
Het is waarschijnlijk dat deze twee intrusiesets met elkaar verband houden, gezien het overlappende gebruik van Cobalt Strike command-and-control (C2)-domeinen die Amazon Web Services, Microsoft Azure (bijvoorbeeld “s3cloud-azure”, “s2cloud-amazon”, “s3bucket-azure” en “s3cloud-azure”) en Trend Micro zelf (“trendmicrotech”) nabootsen.
Het uiteindelijke doel van de aanvallen is om een aangepaste variant van Cobalt Strike te implementeren, die fungeert als een startplatform voor de EAGLEDOOR-backdoor (“Eagle.dll”) via DLL-sideloading.
De malware ondersteunt vier methoden om te communiceren met de C2-server via DNS, HTTP, TCP en Telegram. Terwijl de eerste drie protocollen worden gebruikt om de slachtofferstatus over te brengen, wordt de kernfunctionaliteit gerealiseerd via de Telegram Bot API om bestanden te uploaden en downloaden en extra payloads uit te voeren. De geoogste gegevens worden geëxfiltreerd via curl.exe.
“Earth Baxia, waarschijnlijk gevestigd in China, voerde een geavanceerde campagne uit die gericht was op de overheid en de energiesector in meerdere APAC-landen”, benadrukken de onderzoekers.
“Ze gebruikten geavanceerde technieken zoals GeoServer-exploitatie, spear-phishing en aangepaste malware (Cobalt Strike en EAGLEDOOR) om data te infiltreren en exfiltreren. Het gebruik van openbare cloudservices voor het hosten van kwaadaardige bestanden en de multiprotocolondersteuning van EAGLEDOOR benadrukken de complexiteit en aanpasbaarheid van hun activiteiten.”