EAGLEDOOR: китайский след или случайное совпадение?

Взломанный GeoServer проложил путь к секретам пяти государств.


0e5fyhdiwha3qwntuof5awrcd3z9rmjl.jpg


В июле этого года компания Trend Micro выявила кибератаку на государственные структуры Тайваня, предположительно связанную с китайской группировкой Earth Baxia. Злоумышленники использовали недавно обнаруженную уязвимость в GeoServer ( CVE-2024-36401, CVSS: 9.8), чтобы проникнуть в системы не только на Тайване, но и в других странах Азиатско-Тихоокеанского региона, таких как Южная Корея, Вьетнам, Таиланд и Филиппины.

Эксперты Trend Micro сообщили, что хакеры применяли методы фишинга с использованием поддельных документов и писем, чтобы атаковать в первую очередь правительственные учреждения, телекоммуникационные компании и энергетический сектор. Примечательно, что среди найденных приманок были документы на упрощённом китайском языке, что указывает на возможное распространение атаки и на Китай, хотя точной информации об этом пока нет.

Основная цель атак заключалась в установке вредоносных программ Cobalt Strike и неизвестного ранее бэкдора под названием EAGLEDOOR. Этот бэкдор используется для сбора информации и доставки дополнительных вредоносных компонентов. Злоумышленники применяли методы GrimResource и AppDomainManager для загрузки и запуска вредоносных программ на скомпрометированных устройствах, прикрывая их использование фальшивых файлов, встроенных в архивы ZIP.

Особое внимание привлекает тот факт, что японская компания NTT Security Holdings ранее обнаружила похожие атаки с использованием тех же методов на объекты в Тайване, Филиппинах и Вьетнаме. Это позволяет предположить связь между Earth Baxia и другой известной группировкой APT41.

Для управления заражёнными системами использовались домены, подделывающие популярные облачные сервисы, такие как Amazon Web Services и Microsoft Azure. Операции сопровождались передачей данных через несколько протоколов, включая DNS, HTTP и Telegram, что свидетельствует о высоком уровне подготовки атакующих.

По данным исследователей, цель кампании заключалась в длительной компрометации инфраструктур с дальнейшей кражей данных. Этот инцидент ярко демонстрирует, что в современном мире кибербезопасность выходит за рамки отдельных государств. Только путём тесного международного сотрудничества и постоянного совершенствования защитных мер можно противостоять столь изощрённым и масштабным угрозам.