InforSec News: Tin tặc Trung Quốc khai thác lỗ hổng GeoServer nhắm mục tiêu vào các quốc gia APAC

Top Block Position

Tin tặc Trung Quốc khai thác lỗ hổng GeoServer nhắm mục tiêu vào các quốc gia APAC

Một nhóm APT bị nghi ngờ có nguồn gốc từ Trung Quốc đã nhắm mục tiêu vào một tổ chức chính phủ ở Đài Loan và có thể cả các quốc gia khác trong khu vực Châu Á - Thái Bình Dương (APAC), bằng cách khai thác một lỗ hổng bảo mật nghiêm trọng được vá gần đây ảnh hưởng đến OSGeo GeoServer GeoTools.

Hoạt động xâm nhập được Trend Micro phát hiện vào tháng 7 năm 2024 được cho là do một tác nhân đe dọa có tên là Earth Baxia thực hiện. Dựa trên các email lừa đảo, tài liệu mồi nhử và quan sát từ các sự cố, có vẻ như các mục tiêu chủ yếu là các cơ quan chính phủ, doanh nghiệp viễn thông và ngành năng lượng ở Philippines, Hàn Quốc, Việt Nam, Đài Loan và Thái Lan.

Việc phát hiện ra các tài liệu thu hút bằng tiếng Trung giản thể cho thấy Trung Quốc cũng là một trong những quốc gia bị ảnh hưởng, mặc dù không có đủ thông tin để xác định những lĩnh vực nào trong nước đã được chỉ ra.

Quá trình chuỗi lây nhiễm gồm nhiều giai đoạn, tận dụng hai kỹ thuật khác nhau, sử dụng email lừa đảo trực tuyến và khai thác lỗ hổng GeoServer (CVE-2024-36401, CVSS: 9,8), để cuối cùng cung cấp Cobalt Strike và một backdoor chưa được biết đến trước đây có tên EAGLEDOOR, cho phép thu thập thông tin và phân phối payload.

Tác nhân đe dọa sử dụng GrimResource và AppDomainManager injection để triển khai các payload bổ sung, nhằm hạ thấp sự cảnh giác của nạn nhân, sử dụng các phương pháp cũ để tải xuống phần mềm độc hại giai đoạn tiếp theo thông qua tệp MSC mồi nhử có tên RIPCOY được nhúng trong tệp đính kèm lưu trữ ZIP. Mục tiêu cuối cùng của các cuộc tấn công là triển khai một biến thể tùy chỉnh của Cobalt Strike, hoạt động như một bệ phóng cho backdoor EAGLEDOOR ('Eagle.dll') thông qua DLL side-loading. Phần mềm độc hại hỗ trợ bốn phương pháp để giao tiếp với máy chủ C2 qua DNS, HTTP, TCP - sử dụng để truyền trạng thái nạn nhân và Telegram - thông qua API Telegram Bot để tải lên và tải xuống tệp cũng như thực thi các payload bổ sung. Dữ liệu thu thập được trích xuất thông qua curl.exe.

Nguồn: The Hacker News

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

Điện toán đám mây.
Mạng phân phối nội dung
Giám sát an toàn thông tin mạng.
Bảo vệ an toàn thông tin đầu cuối.
Sao lưu, phục hồi dữ liệu.
Diễn tập phòng chống tấn công mạng.
Kiểm tra, đánh giá an toàn thông tin mạng.
Đào tạo an toàn thông tin.
Dịch vụ khác:
- Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
- Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ:

Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
Email: sales@hissc.com.vn

Bottom Block Position

Trở lại Khoá học