Earth Baxia Angriffserkennung: Von China unterstützte Hacker nutzen Spear-Phishing, ausnutzen die GeoServer-Schwachstelle (CVE-2024-36401) und setzen eine neue EAGLEDOOR-Malware ein, um APAC anzugreifen
Inhaltsverzeichnis:
Im ersten Quartal 2024 zeigten staatlich geförderte APT-Gruppen aus Regionen wie China, Nordkorea, Iran und Russland bemerkenswert ausgeklügelte und innovative Gegner-Methoden, die erhebliche Herausforderungen für die globale Cybersicherheitslandschaft schufen. Kürzlich hat eine mit China verbundene APT-Gruppe, bekannt als Earth Baxia, eine staatliche Behörde in Taiwan und möglicherweise andere Länder in der APAC-Region ins Visier genommen. Die Angreifer setzten auf Spear-Phishing, nutzten eine neu gepatchte kritische RCE-Schwachstelle in OSGeo GeoServer GeoTools aus, die als CVE-2024-36401 verfolgt wird, und setzten eine neuartige benutzerdefinierte Hintertür namens EAGLEDOOR ein.
Angriffe von Earth Baxia erkennen
Im Jahr 2024 sind chinesische staatlich geförderte Hacker an die Spitze der nationenunterstützten Cyberbedrohungen aufgestiegen. Im ersten Halbjahr des Jahres entdeckten Cybersicherheitsforscher eine Reihe von langwierigen Cyber-Spionage- und destruktiven Kampagnen, die von APT40, Velvet Ant, UNC3886, Mustang Pandaund anderen geführt wurden. Diese Gruppen setzen zunehmend auf Phishing-Angriffe und CVE-Exploits, um in zielgerichtete Netzwerke einzudringen, was eine wachsende Bedrohung für die globale Cybersicherheit darstellt.
Doch, neuer Tag, neue Bedrohung für Cyberverteidiger. Die jüngste Kampagne der von China unterstützten Earth Baxia APT zielt vermehrt auf Taiwan und Länder in der APAC-Region ab und nutzt dabei die GeoServer-Schwachstelle (CVE-2024-36401) und die EAGLEDOOR-Malware. Um den Angriffen voraus zu sein und bösartige Aktivitäten in den frühesten Phasen der Angriffsentwicklung zu erkennen, könnten Sicherheitsingenieure auf SOC Prime Plattform zurückgreifen, die eine vollständige Produktreihe für fortschrittliche Bedrohungserkennung, automatisierte Bedrohungssuche und KI-gestützte Erkennungstechnik für kollektive Cyberabwehr bietet.
Die SOC Prime Plattform bündelt eine Reihe kuratierter Erkennungsalgorithmen, begleitet von fortschrittlichen Cybersicherheitstools, um die Bedrohungssuche zu rationalisieren und proaktive Cyberabwehr zu ermöglichen. Drücken Sie den Explore Detections Knopf unten, um die Liste der Sigma-Regeln für die neueste Kampagne von Earth Baxia zu erkunden.
Die Regeln sind kompatibel mit über 30 SIEM-, EDR- und Data-Lake-Lösungen und sind dem MITRE ATT&CK®-Frameworkzugeordnet. Zusätzlich sind Erkennungen mit umfangreichen Metadaten angereichert, einschließlich Threat-Intel- Referenzen, Angriffstimen und Triage-Empfehlungen, die dazu beitragen, die Bedrohungsuntersuchung zu glätten.
Darüber hinaus könnten sich Sicherheitsfachleute auf eine Sigma-Regel unseres wachsamen Threat-Bounty-Entwicklers Emir Erdoganbeziehen, um die Ausnutzungsversuche der GeoServer-Schwachstelle (CVE-2024-306401) zu erkennen. Die Regel unten hilft bei der Erkennung potenzieller Ausnutzungsversuche der GeoServer-unauthentifizierten Remote-Code-Ausführung (CVE-2024-36401) über Webserver-Protokolle. Sie ist kompatibel mit 22 SIEM-, EDR- und Data-Lake-Lösungen und ist dem MITRE ATT&CK-Framework zugeordnet, das die Taktik des initialen Zugangs adressiert, wobei Exploit Public-Facing Application als Haupttechnik verwendet wird.
Sind Sie bereit, sich der Crowdsourcing-Initiative von SOC Prime anzuschließen? Erfahrene Cybersicherheitspraktiker, die darauf abzielen, ihre Fähigkeiten in der Erkennungstechnik und Bedrohungssuche zu bereichern, können sich dem Threat Bounty Programm anschließen, um einen eigenen Beitrag zum kollektiven Branchenwissen zu leisten. Die Teilnahme am Programm ermöglicht es den Autoren von Erkennungsinhalten, ihre beruflichen Fähigkeiten zu monetarisieren und gleichzeitig dabei zu helfen, eine sicherere digitale Zukunft aufzubauen.
Analyse der Angriffe von Earth Baxia
Die neuesten Forschungen von Trend Micro haben eine aktive Kampagne der von China unterstützten Earth Baxia APT-Gruppe aufgedeckt, die eine kürzlich gepatchte Schwachstelle in OSGeo GeoServer GeoTools ausnutzt. Die Kampagne zielt hauptsächlich auf öffentliche Sektororganisationen in Taiwan und anderen APAC-Nationen. Forscher vermuten, dass Regierungsbehörden, Telekommunikationsunternehmen und die Energieindustrie auf den Philippinen, in Südkorea, Vietnam, Taiwan und Thailand wahrscheinlich die Hauptziele sind, basierend auf der Analyse von Angriffsartefakten. an active campaign by the China-backed Earth Baxia APT group, exploiting a recently patched vulnerability in OSGeo GeoServer GeoTools. The campaign primarily targets public sector organizations in Taiwan and other APAC nations. Researchers suggest that government agencies, telecommunications firms, and energy industries in the Philippines, South Korea, Vietnam, Taiwan, and Thailand are likely the main targets, based on the analysis of attack artifacts.
Der Angriff folgt einem mehrstufigen Infektionsprozess, der zwei unterschiedliche Methoden verwendet: Spear-Phishing-E-Mails und die Ausnutzung der kritischen GeoServer-Schwachstelle (CVE-2024-36401). Dieser Ansatz liefert letztendlich Cobalt Strike und führt eine neu entdeckte Hintertür namens EAGLEDOOR ein, die sowohl Datenexfiltration als auch die Bereitstellung weiterer Nutzdaten ermöglicht.
Zusätzlich beobachteten Forscher, dass Earth Baxia GrimResource und AppDomainManager-Injection einsetzt, um weitere Nutzdaten bereitzustellen und die Erkennung zu umgehen. Insbesondere wird GrimResource verwendet, um zusätzliche Malware über eine täuschende MSC-Datei namens RIPCOY herunterzuladen, die in einem ZIP-Archivanhang versteckt ist und die Abwehrkräfte des Opfers im Prozess schwächt.
Unabhängig vom Infektionspfad führt die Kompromittierung letztendlich zur Bereitstellung entweder einer benutzerdefinierten Hintertür namens EAGLEDOOR oder einer unrechtmäßigen Installation des Rotteam-Tools Cobalt Strike.
Bemerkenswerterweise nutzt die Gruppe öffentliche Cloud-Dienste, um ihre bösartigen Dateien zu hosten und zeigt derzeit keine klaren Verbindungen zu anderen bekannten APT-Gruppen. Einige Analysen haben jedoch Ähnlichkeiten mit APT41, auch bekannt als Wicked Panda oder Brass Typhoon, identifiziert.
Die zunehmende Raffinesse der neuesten Kampagnen chinesischer APT-Akteure und ihre Fähigkeit, geschickt der Erkennung zu entgehen, unterstreichen die Notwendigkeit robuster Verteidigungsstrategien gegen APT-Angriffe. Durch den Einsatz von SOC Primes Angriffserkennungs- SaaS-Lösung können Organisationen von Echtzeitdaten und Inhaltsprüfungen für umfassende Bedrohungsvisualisierung und verbesserte Erkennungsabdeckung profitieren, einen hochpräzisen Erkennungsstack für Alarmierung erkunden und automatisierte Bedrohungssuche aktivieren, um Cyberbedrohungen schnell zu identifizieren und anzugehen, bevor sie eskalieren.
