Ancaman persisten tingkat lanjut (APT) yang diduga berasal dari Tiongkok menargetkan organisasi pemerintah di Taiwan, dan mungkin negara lain di kawasan Asia-Pasifik (APAC), dengan mengeksploitasi kelemahan keamanan kritis yang baru saja ditambal yang memengaruhi OSGeo GeoServer GeoTools.
Aktivitas intrusi yang terdeteksi oleh Trend Micro pada bulan Juli 2024 telah dikaitkan dengan aktor ancaman yang dijuluki Bumi Baxia.
“Berdasarkan email phishing yang dikumpulkan, dokumen umpan, dan pengamatan dari insiden, tampaknya target utamanya adalah lembaga pemerintah, bisnis telekomunikasi, dan industri energi di Filipina, Korea Selatan, Vietnam, Taiwan, dan Thailand,” kata peneliti Ted Lee, Cyris Tseng, Pierre Lee, Sunny Lu, dan Philip Chen.
Penemuan dokumen umpan dalam Bahasa Mandarin Sederhana menunjukkan bahwa Tiongkok juga merupakan salah satu negara yang terkena dampak, meskipun perusahaan keamanan siber tersebut mengatakan pihaknya tidak memiliki cukup informasi untuk menentukan sektor mana saja di negara tersebut yang menjadi sasaran.
Proses rantai infeksi multi-tahap memanfaatkan dua teknik berbeda, menggunakan email spear-phishing dan eksploitasi kelemahan GeoServer (CVE-2024-36401, skor CVSS: 9,8), untuk akhirnya menghadirkan Cobalt Strike dan pintu belakang yang sebelumnya tidak dikenal dengan nama sandi EAGLEDOOR, yang memungkinkan pengumpulan informasi dan pengiriman muatan.
“Pelaku ancaman menggunakan GrimResource dan injeksi AppDomainManager untuk menyebarkan muatan tambahan, yang bertujuan untuk melemahkan pertahanan korban,” catat para peneliti, seraya menambahkan bahwa metode pertama digunakan untuk mengunduh malware tahap berikutnya melalui file MSC umpan yang dijuluki RIPCOY yang tertanam dalam lampiran arsip ZIP.
Perlu disebutkan di sini bahwa perusahaan keamanan siber Jepang NTT Security Holdings baru-baru ini merinci gugus aktivitas dengan tautan ke APT41 yang dikatakannya menggunakan dua teknik yang sama untuk menargetkan Taiwan, militer Filipina, dan organisasi energi Vietnam.
Kemungkinan besar kedua set intrusi ini terkait, mengingat penggunaan domain perintah dan kontrol (C2) Cobalt Strike yang tumpang tindih yang meniru Amazon Web Services, Microsoft Azure (misalnya, “s3cloud-azure,” “s2cloud-amazon,” “s3bucket-azure,” dan “s3cloud-azure”), dan Trend Micro sendiri (“trendmicrotech”).
Tujuan akhir serangan ini adalah untuk menyebarkan varian khusus Cobalt Strike, yang bertindak sebagai landasan peluncuran untuk pintu belakang EAGLEDOOR (“Eagle.dll”) melalui pemuatan samping DLL.
Malware tersebut mendukung empat metode untuk berkomunikasi dengan server C2 melalui DNS, HTTP, TCP, dan Telegram. Sementara tiga protokol pertama digunakan untuk mengirimkan status korban, fungsionalitas inti diwujudkan melalui Telegram Bot API untuk mengunggah dan mengunduh file, dan menjalankan muatan tambahan. Data yang dikumpulkan diekstraksi melalui curl.exe.
“Earth Baxia, yang kemungkinan berpusat di Tiongkok, melakukan kampanye canggih yang menargetkan sektor pemerintah dan energi di beberapa negara APAC,” para peneliti menunjukkan.
“Mereka menggunakan teknik canggih seperti eksploitasi GeoServer, spear-phishing, dan malware khusus (Cobalt Strike dan EAGLEDOOR) untuk menyusup dan mencuri data. Penggunaan layanan cloud publik untuk menyimpan file berbahaya dan dukungan multi-protokol EAGLEDOOR menyoroti kompleksitas dan kemampuan beradaptasi operasi mereka.”