Rilevamento Attacco Earth Baxia: Hacker Supportati dalla Cina Utilizzano Spear-Phishing, Sfruttano la Vulnerabilità di GeoServer (CVE-2024-36401) e Applicano un Nuovo Malware EAGLEDOOR per Colpire l’APAC
Indice:
Nel primo trimestre del 2024, gruppi APT sponsorizzati dallo stato provenienti da regioni come Cina, Corea del Nord, Iran e Russia hanno dimostrato metodi avversari notevolmente sofisticati e innovativi, creando sfide significative per il panorama della cybersecurity globale. Recentemente, un gruppo APT connesso alla Cina noto come Earth Baxia ha preso di mira un’agenzia statale a Taiwan e potenzialmente altri paesi nella regione APAC. Gli avversari si sono affidati al spear-phishing, hanno sfruttato una vulnerabilità RCE critica recentemente corretta in OSGeo GeoServer GeoTools tracciata come CVE-2024-36401, e hanno implementato una nuova backdoor personalizzata chiamata EAGLEDOOR.
Rilevare gli attacchi di Earth Baxia
Nel 2024, gli hacker sponsorizzati dallo stato cinese sono emersi in prima linea tra le minacce informatiche sostenute dalla nazione. Durante la prima metà dell’anno, i ricercatori di cybersecurity hanno scoperto una serie di campagne prolungate di spionaggio informatico e distruttive guidate da APT40, Velvet Ant, UNC3886, Mustang Panda, e altri. Questi gruppi fanno sempre più affidamento su attacchi di phishing e sfruttamento di CVE per infiltrarsi nelle reti prese di mira, rappresentando una minaccia crescente per la sicurezza informatica globale.
Tuttavia, un nuovo giorno, una nuova minaccia per i difensori informatici. La campagna più recente del gruppo APT cinese Earth Baxia prende di mira sempre più Taiwan e i paesi della regione APAC sfruttando la vulnerabilità di GeoServer (CVE-2024-36401) e il malware EAGLEDOOR. Per anticipare le intrusioni e individuare attività dannose nelle fasi più precoci dello sviluppo degli attacchi, gli ingegneri della sicurezza potrebbero fare affidamento sulla piattaforma SOC Prime per la difesa informatica collettiva, che offre una suite completa di prodotti per il rilevamento avanzato delle minacce, la ricerca automatizzata delle minacce e l’ingegneria della rilevazione alimentata da AI.
La piattaforma SOC Prime aggrega un set di algoritmi di rilevamento curati accompagnati da strumenti avanzati di cybersecurity per ottimizzare l’indagine sulla ricerca delle minacce e abilitare una difesa informatica proattiva. Clicca sul pulsante Esplora Rilevamenti qui sotto per esplorare l’elenco delle regole Sigma per l’ultima campagna di Earth Baxia.
Le regole sono compatibili con oltre 30 soluzioni SIEM, EDR e Data Lake e mappate sul framework MITRE ATT&CK®. Inoltre, i rilevamenti sono arricchiti con dettagliate metadata, inclusi intelligence sulle minacce riferimenti, cronologia degli attacchi e raccomandazioni per il triage, aiutando a semplificare l’indagine sulle minacce.
Inoltre, per individuare i tentativi di sfruttamento della vulnerabilità di GeoServer (CVE-2024-306401), i professionisti della sicurezza possono fare riferimento a una regola Sigma del nostro sviluppatore di Threat Bounty Emir Erdogan. La regola sottostante aiuta a individuare potenziali tentativi di sfruttamento dell’esecuzione di codice remoto non autenticato di GeoServer (CVE-2024-36401) tramite i log del server web. È compatibile con 22 soluzioni SIEM, EDR e Data Lake e mappata su MITRE ATT&CK affrontando la tattica di Accesso Iniziale, con Sfrutta Applicazione Pubblica come tecnica principale.
Desideroso di unirti all’iniziativa di crowdsourcing di SOC Prime? I praticanti esperti di cybersecurity che si sforzano di arricchire le loro competenze in Detection Engineering e Threat Hunting possono unirsi alle fila del nostro Programma Threat Bounty per dare il proprio contributo all’esperienza collettiva dell’industria. La partecipazione al Programma consente agli autori di contenuti di rilevamento di monetizzare le loro competenze professionali aiutando a costruire un futuro digitale più sicuro.
Analizzando gli Attacchi di Earth Baxia
L’ultima ricerca di Trend Micro ha scoperto una campagna attiva del gruppo APT Earth Baxia supportato dalla Cina, che sfrutta una vulnerabilità recentemente corretta in OSGeo GeoServer GeoTools. La campagna prende di mira principalmente le organizzazioni del settore pubblico a Taiwan e in altre nazioni APAC. I ricercatori suggeriscono che le agenzie governative, le aziende di telecomunicazioni e le industrie energetiche nelle Filippine, Corea del Sud, Vietnam, Taiwan e Thailandia siano probabilmente i principali obiettivi, in base all’analisi degli artefatti dell’attacco.
L’attacco segue un processo di infezione a più fasi, utilizzando due metodi distinti: email di spear-phishing e lo sfruttamento della vulnerabilità critica di GeoServer (CVE-2024-36401). Questo approccio consegna infine Cobalt Strike e introduce una backdoor recentemente scoperta chiamata EAGLEDOOR, che consente sia l’esfiltrazione dei dati sia l’ulteriore distribuzione di payload.
Inoltre, i ricercatori hanno osservato che Earth Baxia utilizza l’iniezione di GrimResource e AppDomainManager per distribuire ulteriori payload, con l’obiettivo di eludere la rilevazione. GrimResource, in particolare, è impiegato per scaricare ulteriore malware tramite un file MSC ingannevole chiamato RIPCOY, nascosto all’interno di un allegato ZIP, abbassando le difese della vittima nel processo.
Indipendentemente dal percorso di infezione, la compromissione porta infine al dispiegamento di una backdoor personalizzata chiamata EAGLEDOOR o un’installazione abusiva dello strumento red-team Cobalt Strike.
Notoriamente, il gruppo sfrutta i servizi cloud pubblici per ospitare i suoi file dannosi e attualmente non mostra legami chiari con altri gruppi APT noti. Tuttavia, alcune analisi hanno identificato somiglianze con APT41, noto anche come Wicked Panda o Brass Typhoon.
La crescente sofisticazione delle ultime campagne degli attori APT cinesi e la loro capacità di eludere abilmente la rilevazione sottolineano la necessità di strategie di difesa robuste contro gli attacchi APT. Sfruttando la soluzione SaaS Attack Detective di SOC Prime , le organizzazioni possono beneficiare di dati in tempo reale e audit di contenuti per una visibilità completa delle minacce e una copertura di rilevamento migliorata, esplorare un stack di rilevamento ad alta fedeltà per gli avvisi, e abilitare la ricerca automatizzata delle minacce per identificare e affrontare rapidamente le minacce informatiche prima che si intensifichino.
