EAGLEDOOR: китайский след или случайное совпадение?
Взломанный GeoServer проложил путь к секретам пяти государств.
В июле этого года компания Trend Micro выявила кибератаку на государственные структуры Тайваня, предположительно связанную с китайской группировкой Earth Baxia. Злоумышленники использовали недавно обнаруженную уязвимость в GeoServer ( CVE-2024-36401, CVSS: 9.8), чтобы проникнуть в системы не только на Тайване, но и в других странах Азиатско-Тихоокеанского региона, таких как Южная Корея, Вьетнам, Таиланд и Филиппины.
Эксперты Trend Micro сообщили, что хакеры применяли методы фишинга с использованием поддельных документов и писем, чтобы атаковать в первую очередь правительственные учреждения, телекоммуникационные компании и энергетический сектор. Примечательно, что среди найденных приманок были документы на упрощённом китайском языке, что указывает на возможное распространение атаки и на Китай, хотя точной информации об этом пока нет.
Основная цель атак заключалась в установке вредоносных программ Cobalt Strike и неизвестного ранее бэкдора под названием EAGLEDOOR. Этот бэкдор используется для сбора информации и доставки дополнительных вредоносных компонентов. Злоумышленники применяли методы GrimResource и AppDomainManager для загрузки и запуска вредоносных программ на скомпрометированных устройствах, прикрывая их использование фальшивых файлов, встроенных в архивы ZIP.
Особое внимание привлекает тот факт, что японская компания NTT Security Holdings ранее обнаружила похожие атаки с использованием тех же методов на объекты в Тайване, Филиппинах и Вьетнаме. Это позволяет предположить связь между Earth Baxia и другой известной группировкой APT41.
Для управления заражёнными системами использовались домены, подделывающие популярные облачные сервисы, такие как Amazon Web Services и Microsoft Azure. Операции сопровождались передачей данных через несколько протоколов, включая DNS, HTTP и Telegram, что свидетельствует о высоком уровне подготовки атакующих.
По данным исследователей, цель кампании заключалась в длительной компрометации инфраструктур с дальнейшей кражей данных. Этот инцидент ярко демонстрирует, что в современном мире кибербезопасность выходит за рамки отдельных государств. Только путём тесного международного сотрудничества и постоянного совершенствования защитных мер можно противостоять столь изощрённым и масштабным угрозам.