Un grupo de ciberespionaje vinculado a China atacó a agencias gubernamentales taiwanesas, al ejército filipino y japonés, y a compañías de energía en Vietnam, instalando el cliente Cobalt Strike o una puerta trasera personalizada conocida como EagleDoor en las máquinas comprometidas.
Apodado Earth Baxia por la firma de ciberseguridad Trend Micro, el grupo utiliza principalmente phishing para comprometer a sus víctimas, pero también aprovechó una vulnerabilidad (CVE-2024-36401) en el software GeoServer de código abierto utilizado para distribuir datos geoespaciales. El grupo utiliza servicios de nube pública para alojar archivos maliciosos y no parece estar conectado con otros grupos conocidos de amenazas persistentes avanzadas (APT), aunque al menos un análisis encontró superposición entre APT41 (también conocido como el nombre de Wicked Panda) y Brass Typhoon. .
La mayor parte de la infraestructura del grupo tiene su sede en China y sus ataques tienen como objetivo naciones de interés nacional chino, dice Ted Lee, investigador de amenazas de Trend Micro.
“En campañas recientes, sus principales objetivos son las agencias gubernamentales y otras infraestructuras críticas. [such as] “Los servicios de telecomunicaciones en la región de Asia y el Pacífico son muy importantes”, explica. “También descubrimos que los materiales utilizados para atraer a las víctimas estaban vinculados a importantes conferencias o reuniones internacionales. »
El ataque se produce cuando China parece estar intensificando sus ataques contra gobiernos y empresas en la región de Asia y el Pacífico. Operación Palacio Carmesí, un grupo de tres grupos APT chinos trabajando juntoscomprometió con éxito a más de una docena de objetivos en el sudeste asiático, incluidas agencias gubernamentales. En otro caso reciente, un grupo de espías chino utilizó un documento falso malicioso para intentar Sistemas de compromiso en el Consejo Empresarial Estados Unidos-Taiwánantes de su 23ª Conferencia de la Industria de Defensa entre Estados Unidos y Taiwán.
Spear-Phishing, con un toque de GeoServer
Los ataques más recientes utilizan principalmente el Spear-phishing, que consiste en enviar un archivo o un enlace, utilizando como señuelo conferencias regionales.
“Con base en los correos electrónicos de phishing recopilados, los documentos señuelo y las observaciones de incidentes, parece que los objetivos son principalmente agencias gubernamentales, compañías de telecomunicaciones y la industria energética en Filipinas, Corea del Sur, Vietnam, Taiwán y Tailandia”, dijo Trend Micro. afirmó en su análisis“También descubrimos un documento falso escrito en chino simplificado, lo que sugiere que China también se encuentra entre los países afectados. Sin embargo, debido a la falta de información, no podemos determinar con precisión qué sectores en China están afectados. »
En un número limitado de casos, Trend Micro ha notado que el grupo de amenazas está utilizando una falla conocida en el código fuente abierto. Servicio de intercambio geoespacial GeoServer para ganar una cabeza de playa dentro de una organización. Los ataques a GeoServer parecen haber comenzado hace al menos dos meses, con la Fundación Shadowserver señala que el ataque apareció por primera vez en sus periódicos el 9 de julio. La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) agregó la vulnerabilidad a su catálogo de vulnerabilidades explotadas conocidas (KEV) el 15 de julio.
Ya sea que se utilice una vulnerabilidad o un phishing, el siguiente paso es utilizar una de dos técnicas, denominadas inyección GrimResource y AppDomainManager, para comprometer aún más los sistemas objetivo.
Descubierto en junio, GrimResource utiliza una vulnerabilidad de secuencias de comandos entre sitios (XSS) para ejecutar JavaScript en la máquina de la víctima y, con un segundo exploit, lograr la ejecución de código arbitrario. La inyección de AppDomainManager es una técnica más antigua, pero aún poco conocida, que puede usarse para ejecutar código malicioso y que está comenzando a ser utilizada indebidamente por grupos respaldados por el estado. NTT Security dijo en un análisis (a través de Google Translate).
“Como este método aún no es muy conocido, está claro que constituye una ventaja unilateral para los atacantes”, afirma el análisis traducido. “Por lo tanto, se teme que este tipo de ataques aumenten en el futuro. »
¿Todos los caminos conducen a Cobalt Strike?
De cualquier manera, un compromiso conduce a una puerta trasera personalizada llamada EagleDoor o a la instalación de un implante mediante una versión pirateada de la herramienta Red Team. Golpe de cobaltocuyo uso es común entre ciberdelincuentes y grupos de ciberespionaje debido a sus poderosas capacidades de movimiento lateral y comando y control (C2).
Además, lo común de la herramienta significa que los investigadores no obtienen ninguna información de atribución de su uso, afirma Lee de Trend Micro.
“Si bien su uso puede ser una señal de alerta, los atacantes a menudo modifican sus componentes para evadir la detección”, explica. “Por otro lado, a los analistas les resulta difícil finalizar la asignación de un grupo basado en Cobalt Strike porque es una herramienta compartida utilizada por muchos grupos diferentes. »
El componente Cobalt Strike lanza dos ejecutables, Hook y Eagle, que constituyen la puerta trasera EagleDoor, que permite la comunicación a través de DNS, HTTP, TCP y Telegram. Los comandos se utilizan para extraer datos del sistema de la víctima e instalar cargas útiles adicionales, dijo Trend Micro en su análisis.