Detección del Ataque Earth Baxia: Hackers Respaldados por China Utilizan Spear-Phishing, Explotan la Vulnerabilidad de GeoServer (CVE-2024-36401), y Aplican un Nuevo Malware EAGLEDOOR para Apuntar al APAC
Tabla de contenidos:
En el primer trimestre de 2024, los grupos APT patrocinados por estados de regiones como China, Corea del Norte, Irán y Rusia demostraron métodos de adversario notablemente sofisticados e innovadores, creando desafíos significativos para el panorama global de ciberseguridad. Recientemente, un grupo APT vinculado a China conocido como Earth Baxia ha atacado una agencia estatal en Taiwán y potencialmente otros países de la región APAC. Los adversarios se basaron en spear-phishing, explotaron una vulnerabilidad crítica de RCE recientemente parcheada en OSGeo GeoServer GeoTools rastreada como CVE-2024-36401, y aprovecharon una nueva puerta trasera personalizada denominada EAGLEDOOR.
Detectar Ataques de Earth Baxia
En 2024, los hackers chinos patrocinados por el estado han surgido a la vanguardia de las amenazas cibernéticas respaldadas por naciones. Durante la primera mitad del año, investigadores en ciberseguridad descubrieron una serie de campañas prolongadas de ciberespionaje y destructivas encabezadas por APT40, Velvet Ant, UNC3886, Mustang Panda, entre otros. Estos grupos dependen cada vez más de ataques de phishing y exploits de CVE para infiltrarse en las redes objetivo, representando una creciente amenaza para la ciberseguridad global.
Sin embargo, el nuevo día trae una nueva amenaza para los defensores cibernéticos. La campaña más reciente del APT Earth Baxia respaldado por China apunta cada vez más a Taiwán y países de la región APAC usando la falla de GeoServer (CVE-2024-36401) y el malware EAGLEDOOR. Para adelantarse a las intrusiones y detectar actividad maliciosa en las primeras etapas del desarrollo del ataque, los ingenieros de seguridad pueden confiar en SOC Prime Platform para la defensa cibernética colectiva, sirviendo un conjunto completo de productos para la detección avanzada de amenazas, la caza automatizada de amenazas y la ingeniería de detección impulsada por IA.
SOC Prime Platform agrega un conjunto de algoritmos de detección seleccionados acompañados de herramientas avanzadas de ciberseguridad para agilizar la investigación de caza de amenazas y habilitar una defensa cibernética proactiva. Pulse el Explorar Detecciones botón a continuación para explorar la lista de reglas Sigma para la última campaña de Earth Baxia.
Las reglas son compatibles con más de 30 soluciones SIEM, EDR y Data Lake y están mapeadas al marco MITRE ATT&CK®. Además, las detecciones están enriquecidas con metadatos extensos, incluidos inteligencia de amenazas referencias, cronogramas de ataque y recomendaciones de triaje, ayudando a suavizar la investigación de amenazas.
Además, para detectar los intentos de explotación de la vulnerabilidad de GeoServer (CVE-2024-306401), los profesionales de seguridad pueden referirse a una regla Sigma por nuestro desarrollador de Threat Bounty Emir Erdogan. La regla a continuación ayuda a detectar posibles intentos de explotación de la ejecución remota de código no autenticada de GeoServer (CVE-2024-36401) a través de registros de servidores web. Es compatible con 22 soluciones SIEM, EDR y Data Lake y está mapeado a MITRE ATT&CK abordando la táctica de Acceso Inicial, con la técnica de Explotación de Aplicación con Cara Pública como técnica central.
¿Ansioso por unirse a la iniciativa de crowdsourcing de SOC Prime? Los practicantes de ciberseguridad capacitados que se esfuerzan por enriquecer sus habilidades de Ingeniería de Detección y Caza de Amenazas pueden unirse a las filas de nuestro Programa de Recompensas de Amenazas para hacer su propia contribución a la experiencia colectiva de la industria. La participación en el Programa permite a los autores de contenido de detección monetizar sus habilidades profesionales mientras ayudan a construir un futuro digital más seguro.
Analizando Ataques de Earth Baxia
La última investigación de Trend Micro ha descubierto una campaña activa del grupo APT Earth Baxia respaldado por China, que explota una vulnerabilidad recientemente parcheada en OSGeo GeoServer GeoTools. La campaña apunta principalmente a organizaciones del sector público en Taiwán y otras naciones de APAC. Los investigadores sugieren que agencias gubernamentales, empresas de telecomunicaciones e industrias energéticas en Filipinas, Corea del Sur, Vietnam, Taiwán y Tailandia son probablemente los principales objetivos, basándose en el análisis de artefactos de ataque.
El ataque sigue un proceso de infección en múltiples etapas, utilizando dos métodos distintos: correos electrónicos de spear-phishing y la explotación de la vulnerabilidad crítica de GeoServer (CVE-2024-36401). Este enfoque finalmente entrega Cobalt Strike e introduce una puerta trasera recién descubierta llamada EAGLEDOOR, permitiendo tanto la exfiltración de datos como el despliegue adicional de cargas útiles.
Además, los investigadores observaron que Earth Baxia utiliza inyección GrimResource y AppDomainManager para entregar más cargas útiles, con el objetivo de evadir la detección. GrimResource, en particular, se emplea para descargar malware adicional a través de un archivo engañoso MSC llamado RIPCOY, oculto dentro de un archivo ZIP adjunto, disminuyendo las defensas de la víctima en el proceso.
Independientemente del camino de infección, el compromiso finalmente resulta en el despliegue de una puerta trasera personalizada denominada EAGLEDOOR o una instalación fraudulenta de la herramienta de equipo rojo Cobalt Strike.
Notablemente, el grupo aprovecha los servicios en la nube pública para alojar sus archivos maliciosos y actualmente no muestra vínculos claros con otros grupos APT conocidos. Sin embargo, algunos análisis han identificado similitudes con APT41, también conocido como Wicked Panda o Brass Typhoon.
La creciente sofisticación de las últimas campañas de los actores APT chinos y su capacidad para evadir inteligentemente la detección subraya la necesidad de estrategias de defensa sólidas contra ataques APT. Al aprovechar la solución SaaS Attack Detective de SOC Prime, las organizaciones pueden beneficiarse de auditorías de contenido y datos en tiempo real para una visibilidad completa de las amenazas y una mejor cobertura de detección, explorar un stack de detección de alta fidelidad para alertas y habilitar la caza automatizada de amenazas para identificar y abordar rápidamente las amenazas cibernéticas antes de que escalen.
