Earth Baxia攻撃検出：中国バックのハッカーがスピアフィッシングを使用し、GeoServerの脆弱性（CVE-2024-36401）を悪用、新しいEAGLEDOORマルウェアを適用してAPACをターゲットに

2024年第1四半期には、中国や 北朝鮮、イラン、ロシアといった地域からの国家支援APTグループが、特に高度で革新的な敵対者の手法を示し、グローバルなサイバーセキュリティの景観に大きな課題をもたらしました。最近、中国関連のAPTグループであるEarth Baxiaが台湾の国家機関やAPAC地域の他の国々を標的にしています。敵対者たちはスピアフィッシングに頼り、OSGeo GeoServer GeoToolsの新たにパッチが適用された重大なRCE脆弱性（CVE-2024-36401）を悪用し、新たに開発されたカスタムバックドア「EAGLEDOOR」を活用しました。

Earth Baxia攻撃の検出 

2024年、中国の国家支援ハッカーが国家支援のサイバー脅威の最前線に立ちました。年の前半を通じて、サイバーセキュリティ研究者は APT40, Velvet Ant, UNC3886, Mustang Panda、その他による一連の長期的なサイバースパイ活動や破壊的なキャンペーンを発見しました。これらのグループは、標的となるネットワークに侵入するためにフィッシング攻撃やCVEエクスプロイトにますます依存しており、グローバルなサイバーセキュリティに対する脅威を増大させています。

しかし、サイバー防御者にとって毎日新たな脅威。最近の中国支援のEarth Baxia APTによるキャンペーンは、台湾およびAPAC地域の国々をGeoServerの脆弱性（CVE-2024-36401）とEAGLEDOORマルウェアを用いてますます標的にしています。侵入の前に立ち、攻撃の最初の段階で悪意のある活動を見つけるために、セキュリティエンジニアは SOC Primeプラットフォーム に頼ることができ、先進的な脅威検出、自動化された脅威狩り、AI駆動の検出エンジニアリングのための完全な製品スイートを提供しています。

SOC Primeプラットフォームは、洗練された検出アルゴリズムのセットを集約し、脅威狩りの調査を効率化し、プロアクティブなサイバー防御を可能にします。 検出を探索 ボタンをクリックして、Earth Baxiaの最新キャンペーン用のSigmaルールのリストを探索してください。 

検出を探索

これらのルールは30以上のSIEM、EDR、データレイクソリューションに対応しており、 MITRE ATT&CK®フレームワークにマッピングされています。さらに、検出内容には 脅威インテル の参照、攻撃タイムライン、トリアージ推奨を含む広範なメタデータが付加されており、脅威の調査を円滑にします。

さらに、GeoServerの脆弱性（CVE-2024-306401）の悪用試みを特定するために、セキュリティプロフェッショナルは私たちの熟練したThreat Bounty開発者 Emir ErdoganによるSigmaルールに参照する可能性があります。以下のルールは、ウェブサーバーログを通じてGeoServerの認証されていないリモートコード実行（CVE-2024-36401）の潜在的な悪用試みを特定するのに役立ちます。これは22のSIEM、EDR、データレイクソリューションに対応しており、初期アクセス戦術を扱うMITRE ATT&CKにマッピングされており、公開されたアプリケーションの悪用をコア技術としています。 

GeoServerにおけるプロパティ名式を評価することによるリモートコード実行の可能性の試み（CVE-2024-36401）

SOC Primeのクラウドソーシング・イニシアティブに参加したいですか？脅威検出エンジニアリングとハンティングスキルを強化しようとする熟練したサイバーセキュリティ実務者は、私たちの Threat Bountyプログラム に参加して、集合的な業界専門知識に自身の貢献を行うことができます。プログラムへの参加により、検出コンテンツの作者は将来のより安全なデジタル社会の構築を助けながら、自身のプロフェッショナルスキルをマネタイズすることができます。

Earth Baxia攻撃の分析

Trend Microの最新の研究が 明らかにした のは、中国支援のEarth Baxia APTグループによる活動的なキャンペーンで、最近パッチが適用されたOSGeo GeoServer GeoToolsの脆弱性が悪用されました。キャンペーンは主に台湾およびその他のAPAC諸国の公共部門組織を標的としており、研究者は政府機関、通信会社、エネルギー産業が主な標的であると分析しています。

攻撃は、スピアフィッシングメールと重大なGeoServer脆弱性（CVE-2024-36401）の悪用という2つの異なる方法を利用した多段階の感染プロセスをたどります。このアプローチは最終的にCobalt Strikeを展開し、新たに発見されたバックドア「EAGLEDOOR」を導入してデータの流出とさらなるペイロード配信を可能にします。

さらに、研究者たちはEarth BaxiaがGrimResourceとAppDomainManager注入を使用してさらなるペイロードを配信し、検出を回避しようとすることを観察しました。特にGrimResourceは、ZIPアーカイブの添付ファイル内に隠されたRIPCOYと名付けられたMSCファイルを通じて、追加のマルウェアをダウンロードするために使用され、被害者の防御を弱めます。

感染経路にかかわらず、妥協により最終的にEAGLEDOORというカスタムバックドアまたはCobalt Strikeの不正インストールが展開されます。

注目すべきは、このグループが自身の悪意のあるファイルをホストするために公開クラウドサービスを利用しており、現在のところ他の既知のAPTグループとの明確なつながりは見られないことです。しかし、一部の分析では APT41、Wicked PandaまたはBrass Typhoonとしても知られるグループとの類似点が特定されています。

中国のAPT行為者による最新のキャンペーンの高度さと、巧妙に検出を回避する能力が強化されていることは、APT攻撃に対する強固な防御戦略の必要性を強調しています。 SOC PrimeのAttack Detective SaaSソリューションを活用することで、組織は包括的な脅威の可視性と改善された検出カバレッジのためのリアルタイムデータおよびコンテンツ審査から利益を得て、高精度の検出スタックを探索し、警告のための自動化された脅威ハンティングを有効にし、エスカレートする前にサイバー脅威を迅速に特定し対処することができます。