Μια ύποπτη ομάδα APT, που προέρχεται από την Κίνα, στόχευε έναν κυβερνητικό οργανισμό στην Ταϊβάν και πιθανώς σε άλλες χώρες στην περιοχή Ασίας-Ειρηνικού (APAC) με το EAGLEDOOR malware, εκμεταλλευόμενη ένα πρόσφατα διορθωμένο κρίσιμο ελάττωμα ασφαλείας που επηρεάζει το OSGeo GeoServer GeoTools.
Δείτε επίσης: Το PondRAT malware στοχεύει προγραμματιστές με πακέτα Python
Η κακόβουλη δραστηριότητα, η οποία εντοπίστηκε από την Trend Micro τον Ιούλιο του 2024, έχει αποδοθεί σε μία ομάδα που ονομάζεται Earth Baxia.
Η ανακάλυψη εγγράφων σε απλοποιημένα Κινεζικά δείχνει ότι η Κίνα είναι επίσης μία από τις χώρες που επηρεάζονται, αν και η εταιρεία κυβερνοασφάλειας είπε ότι δεν έχει αρκετές πληροφορίες για να προσδιορίσει ποιοι τομείς εντός της χώρας έχουν ξεχωρίσει.
Η διαδικασία αλυσίδας μόλυνσης πολλαπλών σταδίων αξιοποιεί δύο διαφορετικές τεχνικές, χρησιμοποιώντας emails spear-phishing και την εκμετάλλευση του ελαττώματος του GeoServer (CVE-2024-36401, βαθμολογία CVSS: 9,8), για να παραδώσει τελικά το Cobalt Strike και ένα προηγουμένως άγνωστο backdoor με την κωδική ονομασία EAGLEDOOR malwarre, που επιτρέπει τη συλλογή πληροφοριών και την παράδοση ωφέλιμου φορτίου.
Αξίζει να αναφερθεί ότι η ιαπωνική εταιρεία κυβερνοασφάλειας NTT Security Holdings δημοσίευσε πρόσφατα ένα σύμπλεγμα δραστηριοτήτων με συνδέσμους στην APT41 που είπε ότι χρησιμοποιούσε τις ίδιες δύο τεχνικές για να στοχεύσει την Ταϊβάν, τον στρατό των Φιλιππίνων και τους οργανισμούς ενέργειας του Βιετνάμ.
Δείτε ακόμα: TeamTNT Malware: Στοχεύει CentOS Servers με τη χρήση Rootkit
Είναι πιθανό αυτές οι κακόβουλες δραστηριότητες να σχετίζονται, δεδομένης της αλληλεπικαλυπτόμενης χρήσης των τομέων εντολής και ελέγχου Cobalt Strike (C2), που μιμούνται τις Υπηρεσίες Ιστού της Amazon, το Microsoft Azure (π.χ. “s3cloud-azure”, “s2cloud-amazon,” ” s3bucket-azure,” και “s3cloud-azure”), και την ίδια την Trend Micro (“trendmicrotech”).
Ο τελικός στόχος των επιθέσεων που πραγματοποιούνται μέσω του ελαττώματος στο GeoServer, είναι η ανάπτυξη μιας προσαρμοσμένης παραλλαγής του Cobalt Strike, η οποία λειτουργεί ως εκκίνηση για το EAGLEDOOR malware (“Eagle.dll“) μέσω πλευρικής φόρτωσης DLL.
Το κακόβουλο λογισμικό υποστηρίζει τέσσερις μεθόδους επικοινωνίας με τον διακομιστή C2 μέσω DNS, HTTP, TCP και Telegram. Ενώ τα τρία πρώτα πρωτόκολλα χρησιμοποιούνται για τη μετάδοση της κατάστασης του θύματος, η βασική λειτουργία πραγματοποιείται μέσω του Telegram Bot API για τη μεταφόρτωση και λήψη αρχείων και την εκτέλεση πρόσθετων ωφέλιμων φορτίων. Τα δεδομένα που συλλέγονται απομακρύνονται μέσω του curl.exe.
Δείτε επίσης: StealC malware: Κατάχρηση του kiosk mode του browser για κλοπή credentials
Τα malware, περιλαμβάνουν μια σειρά από απειλές όπως ιούς, worms, trojans, ransomware, spyware, adware και άλλα. Το κακόβουλο λογισμικό μπορεί να οδηγήσει σε σημαντική ζημιά, συμπεριλαμβανομένης της κλοπής δεδομένων, της μη εξουσιοδοτημένης πρόσβασης σε ευαίσθητες πληροφορίες και της κατάληψης υπολογιστών για κακόβουλες δραστηριότητες. Μπορεί να εξαπλωθεί μέσω συνημμένων email, λήψεων και μερικές φορές ακόμη και από απλή επίσκεψη σε παραβιασμένους ιστότοπους. Η προστασία των συστημάτων από κακόβουλο λογισμικό είναι κρίσιμης σημασίας και περιλαμβάνει τη χρήση ενημερωμένου λογισμικού προστασίας από ιούς, τη διατήρηση firewalls και την εξάσκηση συνηθειών ασφαλούς περιήγησης.
Πηγή: thehackernews
