Çin kaynaklı olduğu düşünülen gelişmiş kalıcı tehdit (APT), OSGeo GeoServer GeoTools’u etkileyen yakın zamanda düzeltilen kritik bir güvenlik açığından yararlanarak Tayvan’daki bir hükümet kuruluşunu ve muhtemelen Asya-Pasifik (APAC) bölgesindeki diğer ülkeleri hedef aldı.
Trend Micro tarafından Temmuz 2024’te tespit edilen saldırı etkinliği, şu adla anılan bir tehdit aktörüne atfedildi: Dünya Baxia.
Araştırmacılar Ted Lee, Cyris Tseng, Pierre Lee, Sunny Lu ve Philip Chen, “Toplanan kimlik avı e-postaları, sahte belgeler ve olaylardan elde edilen gözlemlere dayanarak, hedeflerin öncelikle Filipinler, Güney Kore, Vietnam, Tayvan ve Tayland’daki hükümet kurumları, telekomünikasyon şirketleri ve enerji sektörü olduğu anlaşılıyor” dedi.
Basitleştirilmiş Çince dilindeki tuzak belgelerin keşfi, etkilenen ülkeler arasında Çin’in de olduğunu gösteriyor. Ancak siber güvenlik şirketi, ülke içinde hangi sektörlerin hedef alındığını belirlemek için yeterli bilgiye sahip olmadıklarını söyledi.
Çok aşamalı enfeksiyon zinciri süreci, hedefli kimlik avı e-postaları ve GeoServer açığından (CVE-2024-36401, CVSS puanı: 9,8) yararlanma olmak üzere iki farklı teknikten yararlanıyor ve sonunda Cobalt Strike ve daha önce bilinmeyen EAGLEDOOR kod adlı bir arka kapı ortaya çıkıyor. Bu arka kapı bilgi toplama ve yük teslimine olanak sağlıyor.
Araştırmacılar, “Tehdit aktörü, kurbanın gardını düşürmek amacıyla ek yükler dağıtmak için GrimResource ve AppDomainManager enjeksiyonunu kullanıyor” diyerek, ilk yöntemin, bir ZIP arşivi eki içine yerleştirilmiş RIPCOY adlı aldatıcı bir MSC dosyası aracılığıyla bir sonraki aşama kötü amaçlı yazılımı indirmek için kullanıldığını ekledi.
Burada, Japon siber güvenlik şirketi NTT Security Holdings’in yakın zamanda APT41 ile bağlantıları olan bir faaliyet kümesini detaylandırdığını ve bu kümenin Tayvan, Filipinler ordusu ve Vietnam enerji kuruluşlarını hedef almak için aynı iki tekniği kullandığını söylediğini belirtmekte fayda var.
Amazon Web Services, Microsoft Azure (örneğin, “s3cloud-azure”, “s2cloud-amazon”, “s3bucket-azure” ve “s3cloud-azure”) ve Trend Micro’nun kendisini (“trendmicrotech”) taklit eden Cobalt Strike komuta ve kontrol (C2) etki alanlarının örtüşen kullanımı göz önüne alındığında, bu iki saldırı kümesinin ilişkili olması muhtemeldir.
Saldırıların nihai hedefi, DLL yan yüklemesi yoluyla EAGLEDOOR arka kapısı (“Eagle.dll”) için bir fırlatma rampası görevi gören Cobalt Strike’ın özel bir türünü devreye sokmaktır.
Kötü amaçlı yazılım, DNS, HTTP, TCP ve Telegram üzerinden C2 sunucusuyla iletişim kurmak için dört yöntemi destekler. İlk üç protokol kurban durumunu iletmek için kullanılırken, çekirdek işlevsellik dosyaları yüklemek ve indirmek ve ek yükleri yürütmek için Telegram Bot API’si aracılığıyla gerçekleştirilir. Toplanan veriler curl.exe aracılığıyla dışarı sızdırılır.
Araştırmacılar, “Muhtemelen Çin merkezli Earth Baxia, APAC ülkelerinde hükümet ve enerji sektörlerini hedef alan karmaşık bir kampanya yürüttü” ifadelerini kullandı.
“GeoServer istismarı, hedefli kimlik avı ve özelleştirilmiş kötü amaçlı yazılımlar (Cobalt Strike ve EAGLEDOOR) gibi gelişmiş teknikler kullanarak verilere sızdılar ve verileri dışarı çıkardılar. Kötü amaçlı dosyaları barındırmak için genel bulut hizmetlerinin kullanımı ve EAGLEDOOR’un çoklu protokol desteği, operasyonlarının karmaşıklığını ve uyarlanabilirliğini vurguluyor.”