Earth Baxia 공격 탐지: 중국 지원 해커들이 스피어피싱을 사용해 GeoServer 취약점(CVE-2024-36401)을 악용하고 새로운 EAGLEDOOR 맬웨어를 APAC 지역 대상으로 적용
목차:
2024년 1분기에는 중국, 북한, 이란 및 러시아와 같은 지역의 국가 지원 APT 그룹이 현저히 정교하고 혁신적인 적대 방법을 보여주며 글로벌 사이버 보안 환경에 상당한 도전을 만들었습니다. 최근 중국과 연계된 APT 그룹인 Earth Baxia가 대만의 국가 기관과 APAC 지역의 다른 국가들을 겨냥했습니다. 적대자들은 스피어 피싱에 의존하고, OSGeo GeoServer GeoTools에서 CVE-2024-36401로 추적된 새롭게 패치된 중요한 RCE 취약점을 악용하며, EAGLEDOOR라는 새로운 맞춤형 백도어를 활용했습니다.
Earth Baxia 공격 탐지
2024년에는 중국의 국가 지원 해커들이 정부 지원 사이버 위협의 선봉에 나섰습니다. 올해 상반기 동안 사이버 보안 연구자들은 APT40, 벨벳 앤트, UNC3886, 무스탕 팬더 등으로 이끄는 일련의 장기적인 사이버 스파이 활동과 파괴적인 캠페인을 발견했습니다. 이러한 그룹들은 점점 더 피싱 공격과 CVE 익스플로잇에 의존하여 타겟 네트워크에 침투하여 글로벌 사이버 보안에 증가하는 위협을 제공합니다.
하지만 새로운 날, 사이버 방어자를 위한 새로운 위협입니다. 중국이 지원하는 Earth Baxia APT의 최신 캠페인은 GeoServer 결함 (CVE-2024-36401)과 EAGLEDOOR 맬웨어를 사용하여 대만과 APAC 지역의 국가들을 점점 더 겨냥하고 있습니다. 침투를 앞서고 공격 개발의 초기 단계에서 악성 활동을 탐지하기 위해, 보안 엔지니어는 SOC Prime 플랫폼 을(를) 통해 집단적인 사이버 방어를 제공합니다. 이는 고급 위협 탐지, 자동화된 위협 사냥 및 AI 기반 탐지 엔지니어링을 위한 완전한 제품군을 제공합니다.
SOC Prime 플랫폼은 위협 사냥 조사를 간소화하고 프로액티브한 사이버 방어를 가능하게 하는 고급 사이버 보안 도구와 함께 정제된 탐지 알고리즘 세트를 집계합니다. 아래의 탐지 탐색 버튼을 클릭하여 Earth Baxia의 최신 캠페인을 위한 Sigma 규칙 목록을 탐색하세요.
이 규칙들은 30개 이상의 SIEM, EDR 및 데이터 레이크 솔루션과 호환되며, MITRE ATT&CK® 프레임워크로 매핑되어 있습니다. 또한 탐지는 위협 인텔 참조, 공격 타임라인 및 분류 권장사항을 포함하여 포괄적인 메타데이터로 보강되어, 위협 조사를 매끄럽게 도와줍니다.
추가로, GeoServer 취약점 (CVE-2024-306401)의 악용 시도를 탐지하려는 보안 전문가들은 우리의 날카로운 Threat Bounty 개발자인 에미르 에르도간의 Sigma 규칙을 참조할 수 있습니다. 아래 규칙은 웹 서버 로그를 통해 GeoServer의 인증되지 않은 원격 코드 실행 (CVE-2024-36401)의 잠재적 악용 시도를 탐지하는 데 도움이 됩니다. 이는 22개의 SIEM, EDR 및 데이터 레이크 솔루션과 호환되며, 공개-노출된 애플리케이션을 악용하는 기법을 사용한 초기에 접근하는 MITRE ATT&CK 전술에 매핑되어 있습니다.
속성명 표현 평가를 통한 GeoServer에서의 가능한 원격 코드 실행 시도 (CVE-2024-36401)
SOC Prime의 크라우드소싱 이니셔티브에 참여하고 싶으신가요? 탐지 엔지니어링과 위협 사냥 기술을 강화하려는 숙련된 사이버 보안 실무자는 우리의 Threat Bounty Program 에 가입하여 집단 산업 전문 지식에 기여할 수 있습니다. 프로그램 참여는 탐지 콘텐츠 저자가 자신의 전문 기술을 금전화하는 동시에 더 안전한 디지털 미래를 구축하는 데 도움을 주는 기회를 제공합니다.
Earth Baxia 공격 분석
Trend Micro의 최신 연구에서는 중국이 지원하는 Earth Baxia APT 그룹의 적극적 캠페인이 OSGeo GeoServer GeoTools의 최근 패치된 취약점을 악용하는 것을 밝혀냈습니다. 이 캠페인은 주로 대만과 다른 APAC 국가의 공공 부문 조직을 겨냥합니다. 연구원들은 필리핀, 한국, 베트남, 대만, 태국의 정부 기관, 통신 회사, 에너지 산업이 주요 목표일 가능성이 있다고 제안합니다. 이는 공격 아티팩트 분석을 기반으로 합니다.
공격은 두 가지 방법을 사용하는 다중 단계 감염 과정을 따릅니다: 스피어 피싱 이메일과 중요한 GeoServer 취약점 (CVE-2024-36401)의 악용입니다. 이 접근 방식은 궁극적으로 코발트 스트라이크를 전달하고, EAGLEDOOR라는 새로 발견된 백도어를 도입하여 데이터 탈취와 추가 페이로드 배포를 가능하게 합니다.
또한 연구자들은 Earth Baxia가 추가 페이로드를 전달하기 위해 GrimResource와 AppDomainManager 인젝션을 사용하여 탐지를 회피하려고 시도하고 있음을 관찰했습니다. 특히 GrimResource는 ZIP 아카이브 첨부 파일 내에 숨겨진 RIPCOY라는 기만적인 MSC 파일을 통해 추가 맬웨어를 다운로드하는 데 사용되어 피해자의 방어력을 낮춥니다.
감염 경로와 상관없이, 최종적으로 사용자는 EAGLEDOOR라는 맞춤형 백도어 설치나 적군 팀 도구인 Cobalt Strike의 불법 설치를 경험하게 됩니다.
주목할 만하게도 이 그룹은 공개 클라우드 서비스를 활용하여 그들의 악성 파일을 호스팅하며 현재 다른 알려진 APT 그룹과의 명확한 연결은 보여주지 않고 있습니다. 그러나 일부 분석에서는 APT41와의 유사성을 보여주었습니다. 이는 Wicked Panda 또는 Brass Typhoon으로도 알려져 있습니다.
중국 APT 행위자들의 최신 캠페인의 증가하는 정교함과 탐지를 영리하게 회피하는 능력은 APT 공격에 대한 강력한 방어 전략의 필요성을 강조합니다. SOC Prime의 Attack Detective SaaS 솔루션을 활용하여 조직은 종합적인 위협 가시성을 위한 실시간 데이터 및 콘텐츠 감사를 통해 유익을 얻을 수 있고 감지 범위를 개선하며, 자동화된 위협 사냥을 통해 사이버 위협을 신속하게 식별하고 해결할 수 있습니다.
