Earth Baxia サイバー・スパイ：GeoServer の CVE-2024-36401 を武器にして APAC を狙う

Sophisticated Cyber Espionage: Earth Baxia Uses CVE-2024-36401 and Cobalt Strike to Infiltrate APAC

2024/09/19 SecurityOnline — サイバースパイ集団 Earth Baxia が、洗練されたスピアフィッシング攻撃と、GeoServer の脆弱性 CVE-2024-36401 の悪用を通じて、台湾の政府機関や APAC 諸国を標的にしていることが、最近の Trend Micro のレポートにより判明した。この攻撃は、通信／電力／政府などの主要セクターに侵入する、従来からの継続的な取り組みの一環だとされる。

Earth Baxia の攻撃チェーンは、地理空間データを共有するための OSS プラットフォーム GeoServer の、リモート・コード実行 (RCE) 脆弱性 CVE-2024-36401 の悪用から始まる。この欠陥を悪用する Earth Baxia は、”curl” や “scp” といったツールを介して、カスタマイズされた Cobalt Strike ビーコンなどのペイロードを取り込んだ有害なファイルを作成し、被害者の環境に悪意のコンポーネントを直接にダウンロードさせていた。これらのペイロードを展開することで、攻撃者は任意のコマンドを実行し、侵害したシステム内に足掛かりを築いていた。

Execution flow of Cobalt Strike components
Image: Trend Micro

Earth Baxia の攻撃は脆弱性の悪用だけに留まらず、スピアフィッシング・メールを介した悪意のペイロード配信も行っていた。これらのフィッシング・メールは綿密に作成されており、正規のメールを装うように設計されたルアー文書の中に、悪意の添付ファイルを埋め込むことを常套手段としていた。ある台湾の組織は、２週間で 70 通以上のフィッシング・メールを受け取ったと報告している。そこで多用されたシナリオは、フィッシング・メールに添付されたファイルにより、悪意の .NET アプリをダウンロードして実行した後に、AppDomainManager インジェクションなどの高度な手法を使用して、さらなるペイロードをシステムに注入するというものだ。

標的システムに侵入した Earth Baxia は、有名なペンテスト・ツール Cobalt Strike のカスタマイズされたバージョンを展開していた。Cobalt Strike の内部シグネチャとコンフィグ構造を変更する攻撃者は、従来からの検出方法を回避していた。この変更された Cobalt Strike バージョンは、 DLL サイドローディングを介してロードされるため、セキュリティ・システムによる悪意のアクティビティ検出が、さらに困難になっていた。

Earth Baxia は、Cobalt Strike に加えて EAGLEDOOR という新しいバックドアも導入していた。このバックドアは、DNS／HTTP／TCP／Telegram などの、複数の通信プロトコルをサポートしている。これらの多様なプロトコルを悪用する Earth Baxia は、侵入したマシンから EAGLEDOOR を介して情報を収集し、データを盗み出し、さらなるペイロードを配信したが、疑いを持たれることはなかった。

侵入したシステム内で、Earth Baxia は収集した機密データを、”curl” コマンドを悪用することでリモート・サーバへと送信していた。一連の攻撃で用いられたフィッシング・メールには、”Edge.exe” や “msedge.dll” などの追加のツールセットをダウンロードする ZIP ファイルも含まれており、それらにより Earth Baxia は、システムへの長期的なアクセスを維持していた。

Trend Micro の研究者たちが、さらに調査を進めたところ、Earth Baxia が使用する Command and Control (C2) サーバの大半が、香港の Alibaba Cloud でホストされ、それに関連するサンプルが中国から VirusTotal に送信されていることが分かった。これらの調査結果に基づき、Trend Micro のレポートが示唆するのは、Earth Baxia が中国を拠点とする APT グループであるという疑念である。この攻撃の標的に含まれるのは、台湾／韓国／ベトナム／フィリピンの政府組織や企業であるという。さらに、簡体字中国語で書かれたルアー文書が示唆するのは、中国国内の一部のセクターが影響を受けた可能性である。

GeoServer の脆弱性 CVE-2024-36401 ですが、リストにあるように、7月初旬に発見された後の状況が悪化しているようです。CISA KEV に登録されましたが、PoC がリリースされたことで積極的な悪用にいたっています。しかも、その標的となっていのはアジアです。ご注意ください。なお、Earth Baxia は、このブログでは初登場です。

2024/09/06：GeoServer の CVE-2024-36401：マルウェア展開で悪用
2024/07/30：GeoServer の CVE-2024-36401：PoC の公開と活発な悪用
2024/07/15：CISA KEV：脆弱性 CVE-2024-36401 を登録：PoC も提供
2024/07/02：GeoServer の脆弱性 CVE-2024-36401 が FIX：RCE の恐れ

M	T	W	T	F	S	S
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30

Share this: