Détection d’attaque Earth Baxia : des hackers soutenus par la Chine utilisent le spear-phishing, exploitent la vulnérabilité GeoServer (CVE-2024-36401) et appliquent un nouveau malware EAGLEDOOR pour cibler l’APAC
Table des matières :
Au premier trimestre 2024, les groupes APT parrainés par l’État de régions telles que la Chine, la Corée du Nord, l’Iran et la Russie ont démontré des méthodes d’adversaires remarquablement sophistiquées et innovantes, créant des défis significatifs pour le paysage mondial de la cybersécurité. Récemment, un groupe APT lié à la Chine connu sous le nom de Earth Baxia a ciblé une agence d’État à Taïwan et potentiellement d’autres pays de la région APAC. Les adversaires se sont appuyés sur le spear-phishing, ont exploité une vulnérabilité critique RCE nouvellement corrigée dans OSGeo GeoServer GeoTools suivie sous CVE-2024-36401, et ont utilisé une nouvelle porte dérobée personnalisée surnommée EAGLEDOOR.
Détecter les attaques Earth Baxia
En 2024, les hackers chinois parrainés par l’État se sont propulsés à l’avant-garde des cybermenaces soutenues par les nations. Au cours de la première moitié de l’année, les chercheurs en cybersécurité ont découvert une série de campagnes prolongées de cyber-espionnage et destructrices menées par APT40, Velvet Ant, UNC3886, Mustang Panda, et d’autres. Ces groupes s’appuient de plus en plus sur les attaques de phishing et les exploits CVE pour infiltrer les réseaux ciblés, posant une menace croissante à la cybersécurité mondiale.
Pourtant, chaque jour apporte une nouvelle menace pour les défenseurs du cyberespace. La campagne la plus récente du groupe APT Earth Baxia soutenu par la Chine cible de plus en plus Taiwan et les pays de la région APAC en utilisant la faille GeoServer (CVE-2024-36401) et le malware EAGLEDOOR. Pour anticiper les intrusions et détecter l’activité malveillante dès les premières étapes du développement des attaques, les ingénieurs de sécurité peuvent s’appuyer sur la Plateforme SOC Prime pour une défense cybernétique collective offrant une suite complète de produits pour la détection avancée des menaces, la chasse aux menaces automatisée et l’ingénierie de détection alimentée par l’IA.
La Plateforme SOC Prime regroupe un ensemble d’algorithmes de détection sélectionnés accompagnés d’outils avancés de cybersécurité pour rationaliser les enquêtes de chasse aux menaces et permettre une défense proactive contre les cyberattaques. Cliquez sur le bouton Explorer les Détections ci-dessous pour explorer la liste des règles Sigma pour la dernière campagne d’Earth Baxia.
Les règles sont compatibles avec plus de 30 solutions SIEM, EDR et Data Lake et sont mappées à la MITRE ATT&CK® framework. De plus, les détections sont enrichies de métadonnées étendues, comprenant des renseignements sur les menaces , des chronologies d’attaques et des recommandations de priorisation, aidant à fluidifier l’investigation des menaces.
De plus, pour repérer les tentatives d’exploitation de la vulnérabilité GeoServer (CVE-2024-306401), les professionnels de la sécurité peuvent se référer à une règle Sigma de notre développeur Threat Bounty expert Emir Erdogan. La règle ci-dessous aide à identifier les tentatives potentielles d’exploitation de l’exécution de code à distance non authentifiée de GeoServer (CVE-2024-36401) via les journaux du serveur Web. Elle est compatible avec 22 solutions SIEM, EDR et Data Lake et est mappée à MITRE ATT&CK, abordant la tactique de l’accès initial, avec l’exploitation de l’application publique comme technique principale.
Enthousiaste à l’idée de rejoindre l’initiative de crowdsourcing de SOC Prime ? Les praticiens en cybersécurité qualifiés qui cherchent à enrichir leurs compétences en ingénierie de détection et en chasse aux menaces peuvent rejoindre les rangs de notre Programme de Prime pour les Menaces pour apporter leur propre contribution à l’expertise collective de l’industrie. Participer au programme permet aux auteurs de contenu de détection de monétiser leurs compétences professionnelles tout en contribuant à construire un avenir numérique plus sûr.
Analyser les Attaques d’Earth Baxia
La dernière recherche de Trend Micro a découvert une campagne active par le groupe APT Earth Baxia soutenu par la Chine, exploitant une vulnérabilité récemment corrigée dans OSGeo GeoServer GeoTools. La campagne cible principalement les organisations du secteur public à Taïwan et dans d’autres pays de l’APAC. Les chercheurs suggèrent que les agences gouvernementales, les entreprises de télécommunications et les industries énergétiques aux Philippines, en Corée du Sud, au Vietnam, à Taïwan et en Thaïlande sont probablement les principales cibles, sur la base de l’analyse des artefacts d’attaque.
L’attaque suit un processus d’infection en plusieurs étapes, utilisant deux méthodes distinctes : des e-mails de spear-phishing et l’exploitation de la vulnérabilité critique de GeoServer (CVE-2024-36401). Cette approche livre finalement Cobalt Strike et introduit une porte dérobée nouvellement découverte surnommée EAGLEDOOR, permettant à la fois l’exfiltration de données et le déploiement d’autres charges utiles.
De plus, les chercheurs ont observé qu’Earth Baxia utilise GrimResource et l’injection AppDomainManager pour livrer d’autres charges utiles, visant à éviter la détection. GrimResource, en particulier, est utilisé pour télécharger des logiciels malveillants supplémentaires via un fichier MSC trompeur nommé RIPCOY, caché dans une pièce jointe au format ZIP, abaissant ainsi les défenses de la victime dans le processus.
Quel que soit le chemin d’infection, le compromis aboutit finalement au déploiement soit d’une porte dérobée personnalisée appelée EAGLEDOOR, soit d’une installation frauduleuse de l’outil de l’équipe rouge Cobalt Strike.
Notamment, le groupe exploite des services de cloud public pour héberger ses fichiers malveillants et ne montre actuellement pas de liens clairs avec d’autres groupes APT connus. Cependant, certaines analyses ont identifié des similitudes avec APT41, également connu sous le nom de Wicked Panda ou Brass Typhoon.
La sophistication croissante des dernières campagnes par les acteurs APT chinois et leur capacité à échapper intelligemment à la détection souligne la nécessité de stratégies de défense robustes contre les attaques APT. En exploitant la solution SaaS de SOC Prime’s Attack Detective , les organisations peuvent tirer parti de données en temps réel et d’audits de contenu pour une visibilité complète des menaces et une meilleure couverture de détection, explorer une pile de détection à haute fidélité pour l’alerte, et permettre une chasse aux menaces automatisée pour identifier rapidement et traiter les menaces cybernétiques avant qu’elles ne s’aggravent.
