GeoServer, kullanıcıların coğrafi verileri paylaşmasına, işlemesine ve düzenlemesine olanak tanıyan Java dilinde yazılmış açık kaynaklı bir sunucudur.
Çeşitli veri formatlarını destekler ve “Google Maps” ve “OpenLayers” gibi popüler haritalama uygulamalarıyla entegre olur; bu da onu web haritalama ve mekansal veri altyapısı için güçlü bir araç haline getirir.
Trend Micro araştırmacıları yakın zamanda Çinli bilgisayar korsanlarının EAGLEDOOR kötü amaçlı yazılımını dağıtmak için güvenlik açıklarını aktif olarak kullandıklarını keşfetti.
GeoServer Güvenlik Açığı EAGLEDOOR Kötü Amaçlı Yazılım
Çin bağlantılı APT grubu “Earth Baxia”, “Tayvan”, “Filipinler”, “Güney Kore”, “Vietnam” ve “Tayland” da dahil olmak üzere “APAC ülkelerindeki” hükümet kurumlarını, telekomünikasyon ve enerji sektörlerini hedef aldı.
CISO’larla tanışın, uyumluluğu öğrenmek için Sanal Panele katılın – Ücretsiz Katıl
Saldırı vektörleri, kötü amaçlı “MSC dosyaları (RIPCOY)” içeren ‘hedefli kimlik avı e-postaları’ ve “GeoServer”daki bir RCE güvenlik açığı olan “CVE-2024-36401”in istismarını içeriyordu.
Enfeksiyon zincirinde “AppDomainManager enjeksiyonu” ve “GrimResource” gibi teknikler kullanıldı ve bulut hizmetlerinden (AWS, Aliyun) yükler indirildi.
Earth Baxia, “SWORDLDR” adlı bir kabuk kodu yükleyicisi ve “EAGLEDOOR” adlı yeni bir arka kapı da dahil olmak üzere “özelleştirilmiş Cobalt Strike bileşenleri” dağıttı.
EAGLEDOOR, DLL yan yüklemesini (“Systemsetting.dll” ve “Systemsetting.exe”) kullanan yükleyicisiyle birden fazla iletişim protokolünü (DNS, HTTP, TCP ve Telegram) destekler.
Arka kapının işlevselliği, “Hook.dll” aracılığıyla yapılan API kancalamasını ve “Eagle.dll” aracılığıyla yapılan çekirdek işlemlerini içerir.
Bunun yanı sıra, aşağıdaki yöntemleri kullanarak komuta ve kontrol için Telegram’ın Bot API’sini kullanır:
- Dosyayı al
- Güncellemeleri al
- Belge gönder
- Mesaj gönder
Tehdit aktörleri, tespit edilmekten kaçınmak ve tehlikeye atılmış sistemlerde kalıcılığını sürdürmek için “Base64” ve “AES şifrelemesi” gibi karartma tekniklerini kullandı.
Grubun sızdırma sürecinin bir parçası olarak toplanan bilgiler arşivlendi ve çalınan veriler “curl.exe” kullanılarak kendi dosya sunucularına (152.42.243.170) yüklendi.
Ayrıca, başlangıçtaki erişim yöntemleri de çeşitlilik gösteriyordu; kötü amaçlı araç setlerini iletmek için “MSC” ve “LNK” dosyalarını kullanıyorlardı.
Burada “Static.krislab.site”, “Edge.exe”, “msedge.dll”, “Logs.txt” gibi dosyaların da aralarında bulunduğu “sahte belgeleri” ve “Cobalt Strike bileşenlerini” Power Shell komutlarını kullanarak yaymak için kullanılan sitelerden biridir.
Araştırmacılar, kötü amaçlı dosyaları barındırmak için genel bulut hizmetlerinden yararlanarak ve EAGLEDOOR’a “çoklu protokol” desteği ekleyerek uyarlanabilirlik gösterdiler; bu da operasyonel karmaşıklığını artırdı.
Öneriler
Aşağıda tüm önerilerimizi belirttik:
- Sürekli olarak kimlik avı farkındalık eğitimleri uygulayın.
- Çok katmanlı koruma çözümleri uygulayın.
- Dikkatli siber güvenlik uygulamalarını sürdürün.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial