Detecção de Ataques Earth Baxia: Hackers Apoiados pela China Usam Spear-Phishing, Exploram a Vulnerabilidade do GeoServer (CVE-2024-36401) e Aplicam um Novo Malware EAGLEDOOR para Alvejar APAC
Índice:
No primeiro trimestre de 2024, grupos APT patrocinados pelo estado de regiões como China, Coreia do Norte, Irã e Rússia demonstraram métodos adversários notavelmente sofisticados e inovadores, criando desafios significativos para o cenário global de cibersegurança. Recentemente, um grupo APT ligado à China conhecido como Earth Baxia tem como alvo uma agência estatal em Taiwan e potencialmente outros países na região APAC. Os adversários confiaram em spear-phishing, exploraram uma vulnerabilidade crítica RCE recém-corrigida no OSGeo GeoServer GeoTools rastreada como CVE-2024-36401, e utilizaram uma nova porta dos fundos personalizada chamada EAGLEDOOR.
Detectar Ataques Earth Baxia
Em 2024, hackers chineses patrocinados pelo estado avançaram para a vanguarda das ameaças cibernéticas apoiadas pela nação. Durante a primeira metade do ano, pesquisadores de cibersegurança descobriram uma série de campanhas prolongadas de ciberespionagem e destruição lideradas por APT40, Velvet Ant, UNC3886, Mustang Panda, e outros. Esses grupos estão cada vez mais dependendo de ataques de phishing e explorações de CVE para infiltrar-se em redes-alvo, representando uma ameaça crescente para a cibersegurança global.
No entanto, o novo dia traz a nova ameaça para os defensores cibernéticos. A campanha mais recente do Earth Baxia APT, apoiada pela China, tem como alvo crescente Taiwan e países na região APAC usando a falha do GeoServer (CVE-2024-36401) e o malware EAGLEDOOR. Para ficar à frente das intrusões e detectar atividades maliciosas em estágios iniciais do desenvolvimento do ataque, engenheiros de segurança podem contar com a Plataforma SOC Prime para defesa cibernética coletiva, oferecendo um conjunto completo de produtos para detecção avançada de ameaças, caçada automatizada de ameaças e engenharia de detecção alimentada por IA.
A Plataforma SOC Prime agrega um conjunto de algoritmos de detecção selecionados, acompanhados por ferramentas avançadas de cibersegurança para agilizar a investigação de caçadas de ameaças e permitir uma defesa cibernética proativa. Pressione o botão Explorar Detecções abaixo para explorar a lista de regras Sigma para a última campanha do Earth Baxia.
As regras são compatíveis com mais de 30 soluções SIEM, EDR e Data Lake e são mapeadas para o framework MITRE ATT&CK®. Além disso, as detecções são enriquecidas com metadados extensivos, incluindo inteligência de ameaças referências, cronogramas de ataque e recomendações de triagem, ajudando a suavizar a investigação de ameaças.
Além disso, para detectar as tentativas de exploração da vulnerabilidade do GeoServer (CVE-2024-306401), profissionais de segurança podem referir-se a uma regra Sigma do nosso desenvolvedor interessadíssimo em Threat Bounty Emir Erdogan. A regra abaixo ajuda a detectar possíveis tentativas de exploração da execução remota de código não autenticada do GeoServer (CVE-2024-36401) por meio de logs de servidores web. É compatível com 22 soluções SIEM, EDR e Data Lake e está mapeada para o MITRE ATT&CK abordando a táctica de Acesso Inicial, com Exploitar Aplicação Exposta ao Público como técnica central.
Ansioso para se juntar à iniciativa de crowdsourcing da SOC Prime? Praticantes de cibersegurança habilidosos que buscam enriquecer suas habilidades de Engenharia de Detecção e Caça de Ameaças podem se juntar às fileiras do nosso Programa Threat Bounty para fazer sua própria contribuição para a expertise coletiva da indústria. A participação no Programa permite que os autores de conteúdo de detecção monetizem suas habilidades profissionais enquanto ajudam a construir um futuro digital mais seguro.
Analisando os Ataques Earth Baxia
A mais recente pesquisa da Trend Micro descobriu uma campanha ativa do grupo APT Earth Baxia apoiado pela China, explorando uma vulnerabilidade recentemente corrigida no OSGeo GeoServer GeoTools. A campanha tem como alvo principal organizações do setor público em Taiwan e outras nações APAC. Os pesquisadores sugerem que agências governamentais, empresas de telecomunicações e indústrias de energia nas Filipinas, Coreia do Sul, Vietnã, Taiwan e Tailândia são provavelmente os principais alvos, com base na análise de artefatos de ataque.
O ataque segue um processo de infecção em várias etapas, utilizando dois métodos distintos: emails de spear-phishing e a exploração da vulnerabilidade crítica do GeoServer (CVE-2024-36401). Essa abordagem entrega, finalmente, o Cobalt Strike e introduz uma nova porta dos fundos descoberta chamada EAGLEDOOR, permitindo tanto a exfiltração de dados quanto a implantação de cargas adicionais.
Além disso, os pesquisadores observaram que o Earth Baxia usa injeção GrimResource e AppDomainManager para entregar cargas adicionais, visando escapar da detecção. GrimResource, em particular, é empregado para baixar malwares adicionais através de um arquivo MSC enganoso chamado RIPCOY, escondido dentro de um anexo de arquivo ZIP, reduzindo as defesas da vítima no processo.
Independentemente da via de infecção, o comprometimento resulta, em última análise, no implante de uma porta dos fundos personalizada chamada EAGLEDOOR ou em uma instalação fraudulenta da ferramenta de equipe vermelha Cobalt Strike.
Notavelmente, o grupo aproveita serviços públicos de nuvem para hospedar seus arquivos maliciosos e atualmente não demonstra laços claros com outros grupos APT conhecidos. No entanto, algumas análises identificaram semelhanças com APT41, também conhecido como Wicked Panda ou Brass Typhoon.
A sofisticação crescente das últimas campanhas dos atores APT chineses e sua capacidade de evadir astutamente a detecção destacam a necessidade de estratégias de defesa robustas contra ataques APT. Ao alavancar a solução SaaS Attack Detective da SOC Prime , as organizações podem se beneficiar de auditorias em tempo real de dados e conteúdos para uma visibilidade abrangente de ameaças e uma cobertura de detecção aprimorada, explorar uma pilha de detecção de alta fidelidade para alertas e habilitar a caçada automatizada de ameaças para identificá-las e combatê-las rapidamente antes que escalem.
