【样本分享】复杂网络间谍活动:Earth Baxia利用CVE-2024-36401和Cobalt Strike渗透亚太地区

安恒恒脑 2024-09-19 19:04:19 779人浏览

概要:

近期,趋势科技报告指出,网络间谍组织Earth Baxia通过复杂的鱼叉式网络钓鱼活动和GeoServer关键漏洞CVE-2024-36401,针对台湾及亚太地区的政府组织进行攻击。这一行动旨在渗透电信、能源和政府机构等关键部门。

主要内容:

Earth Baxia的攻击始于CVE-2024-36401,这是GeoServer中的一个远程代码执行(RCE)漏洞。利用这一漏洞,攻击者能够直接下载恶意组件到受害者环境中,使用工具如“curl”和“scp”植入定制的Cobalt Strike信标和其他有效载荷。这些有效载荷的部署使攻击者能够执行任意命令,并在受感染系统中建立立足点。

除了利用漏洞,Earth Baxia还使用精心制作的鱼叉式网络钓鱼邮件来传递恶意有效载荷。这些邮件通常包含伪装成合法文件的诱饵文档和恶意附件。台湾的一家机构报告称,在两周内收到了超过70封钓鱼邮件。钓鱼附件通常会下载并执行恶意的.NET应用程序,使攻击者能够使用复杂技术如AppDomainManager注入进一步植入有效载荷。

一旦进入目标系统,Earth Baxia部署了定制版本的Cobalt Strike,通过修改其内部签名和配置结构,攻击者能够规避传统检测方法。该版本通过DLL侧加载,使安全系统更难识别恶意活动。除了Cobalt Strike,Earth Baxia还引入了名为EAGLEDOOR的新后门程序,支持包括DNS、HTTP、TCP和Telegram在内的多种通信协议,便于信息收集、数据外传和进一步的有效载荷传递。趋势科技的调查显示,Earth Baxia的大多数指挥与控制(C2)服务器托管在阿里云上,位于香港。

APT 钓鱼攻击 恶意代码 数据泄露 政府部门 通信 能源
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。