One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8580820 |
| Date de publication | 2024-09-20 20:47:04 (vue: 2024-09-20 21:18:12) |
| Titre | La terre Baxia utilise l'exploit de lance-phishing et de géoserver pour cibler l'APA Earth Baxia Uses Spear-Phishing and GeoServer Exploit to Target APA |
| Texte | #### Géolocations ciblées - Taiwan - Philippines - Vietnam - Corée - Chine - Thaïlande #### Industries ciblées - agences et services gouvernementaux - Infrastructure de communication - Énergie ## Instantané Des chercheurs de Micro Trend ont rapporté que Earth Baxia, un groupe de menaces persistantes avancé (APT), probablement basée en Chine, a ciblé les secteurs du gouvernement et de l'énergie à Taïwan et d'autres pays d'Asie-Pacifique (APAC) par le biais de [e-mails de phisces de lance] (HTTPS://www.microsoft.com/en-us/microsoft-365-life-hacks/privacy-and-safety/spear-phishing-attack) et une vulnérabilité dans GeoServer (CVE-2024-36401). ## Description La vulnérabilité, un exploit d'exécution de code distant, a permis aux attaquants de télécharger et d'exécuter des composants malveillants dans les environnements victimes.Earth Baxia a utilisé une version personnalisée de [Cobalt Strike] (https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc) qui contenait des signatures modifiées pour les signatures modifiées pour des évacuations.De plus, ils ont déployé une nouvelle porte dérobée appelée Eagledoor, qui prend en charge plusieurs protocoles de communication comme HTTP, TCP et DNS pour l'exfiltration et le contrôle des données. La chaîne d'attaque a commencé avec des e-mails de phishing contenant des pièces jointes malveillantes ou des liens.Ces e-mails inciteraient les utilisateurs à exécuter un script de base visuel qui télécharge d'autres charges utiles à partir de services de cloud public.En utilisant des techniques comme l'injection GrimResource et AppDomainManager, Earth Baxia a installé des logiciels malveillants supplémentaires, l'exécutant directement dans la mémoire pour éviter les méthodes de détection traditionnelles.Les attaquants ont hébergé leurs fichiers malveillants sur des plates-formes cloud telles que Amazon Web Services et Aliyun, leur permettant de remplacer ou de mettre à jour leurs charges utiles rapidement. Une enquête plus approfondie sur la campagne a révélé que certains des serveurs impliqués étaient situés en Chine.De plus, de nombreuses composantes d'attaque ont été soumises à Virustotal de Chine.Les victimes étaient principalement à Taïwan, aux Philippines, en Corée du Sud, en Thaïlande et au Vietnam, avec des preuves suggérant que la Chine a également été affectée.L’utilisation des services cloud et des techniques d’évasion multicouches par Baxia \\ rend le suivi de leurs activités difficiles, mettant en évidence la sophistication de leurs opérations. ## Analyse Microsoft Le [CVE-2024-36401] (https://security.microsoft.com/intel-explorer/cves/cve-2024-36401/description) existe des versions GeoServer avant 2.23.6, 2.24.4 et 2,25.2.Ces versions sont vulnérables à l'exécution de code distant (RCE) via plusieurs paramètres de demande OGC.Les utilisateurs non authentifiés peuvent exploiter cette faille en envoyant une entrée spécialement conçue au serveur, conduisant à une exécution de code arbitraire.La vulnérabilité découle de l'évaluation dangereuse des noms de propriétés sous forme d'expressions XPath, qui affecte à la fois des types de fonctionnalités complexes et simples.Cette question découle de la façon dont la bibliothèque Geotools interagit avec la bibliothèque Commons-Jxpath.La vulnérabilité est confirmée comme exploitable grâce à des demandes telles que WFS GetFeature, WMS GetMap et WPS s'exécutent.Les correctifs sont disponibles dans les dernières versions GeoServer. Lisez les autres exploitations récentes rapportées de CVE-2024-36401 [ici] (https://security.microsoft.com/intel-explorer/articles/e7a82171). ## Recommandations Micro Trend recommande les atténuations suivantes pour réduire l'impact de cette menace: - Mettre en œuvre une formation continue de sensibilisation au phishing po |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | #### **© 2024 2024** 20and 20apac 20baxia 20earth 20exploit 20geoserver 20spear 20target 20to 20uses 36401 36401/description 36401 365 365/security/defender about access accessed action activities additional additionally advanced affected affects against age agencies alert alerts aliyun all allow allowed allowing also amazon analysis antivirus any apa apac apac/iocs appdomainmanager apt arbitrary are arises artifacts asia attachments attack attacker attackers attacks: authority automated available avoid awareness backdoor based basic baxia been began behind block both breach breaches called campaign can chain challenging changes check china cloud cobalt code com/content/dam/trendmicro/global/en/research/24/i/earth com/en com/intel com/microsoft common commons communication communications complex components compromise configure confirmed contained containing content continuous control controlled copyright countries cover crafted credential criterion customers customized cve data defender delivered deploy deployed description detect detected detection directly distribution dns does double download downloads eagledoor early earth edr emails employees enable enabled endpoint endpoint/attack endpoint/automated endpoint/edr endpoint/enable endpoint/linux endpoint/prevent energy ensure environments equivalent evade evaluation evasion even evidence evolving exe executable execute executing execution exfiltration exists exploit exploitable exploitations explorer/articles/e7a82171 explorer/cves/cve expressions feature files flaw folder folders following from full further geolocations geoserver geotools getfeature getmap government grimresource group hacks/privacy has help here highlighting hosted how html http https://docs https://learn https://security https://www immediate impact implement indicators industries infection infrastructure injection input installed interacts investigation investigations involved issue jxpath korea latest layered leading learndoc learning library life like likely links list local located lsass machine majority makes malicious malware manage many meet memory methods micro microsoft mitigations mitigations: mode modified multi multiple names network new non not obfuscated ocid=magicti ogc operations other pacific parameters part particularly passive patches payloads permission persistent philippines phishing platforms post potentially preferences prevalence prevent primarily prior product profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc prohibited property protection protection#how protections protocols public quickly ransomware rapidly rce read recent recommendations recommends reduce reducing reduction reduction#block reduction#use references remediate remediation remote replace reported reproduction request requests researchers reserved resolve response revealed rights rules run running safety/spear scenes script scripts sectors security sender sending server servers services settings signatures significantly simple site snapshot solutions some sophistication sources south spear specially stealing stems strike subject subjects submitted subsystem such suggesting supports surface taiwan take tamper target targeted targeting tcp techniques thailand them thereof these those threat threat: threats through tools tracking traditional training trend trendmicro trick trusted turn txt types unauthenticated unfamiliar unknown unless unsafe update us/defender us/microsoft us/research/24/i/earth use used users uses using vague version versions victims vietnam view=o365 virustotal visual volume vulnerability vulnerable web wfs when which windows within without wms works worldwide would wps written xpath your |
| Tags | Ransomware Malware Tool Vulnerability Threat Prediction Cloud |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.