Earth Baxia APT iskorištava GeoServer ranjivost
Earth Baxia, napredna trajna prijetnja (eng. Advanced persistent threat – APT), ciljala je vladine organizacije i ključne industrije u nekoliko zemalja Azije i Pacifika otkrili su sigurnosni istraživači kompanije Trend Micro. Grupa je sprovodila ciljane kampanje protiv vladinih agencija, telekomunikacionih preduzeća i energetske industrije u nekoliko zemalja Azije i Pacifika, kao što su Filipini, Južna Koreja, Vijetnam, Tajvan i Tajland.
Earth Baxia APT iskorištava GeoServer ranjivost; Source: Bing Image Creator
EARTH BAXIA
Earth Baxia način funkcionisanja karakteriše visok nivo sofisticiranosti i prilagodljivosti. Grupa je primijećena korištenjem naprednih tehnika kao što su eksploatacija GeoServer, spear–phishing i prilagođeni zlonamjerni softver kao što su Cobalt Strike i EAGLEDOOR za infiltriranje ciljanih sistema. Korištenjem javnih usluga u oblaku za skladištenje zlonamjernih datoteka i upotrebom podrške za više protokola sa EAGLEDOOR zlonamjernim softverom, Earth Baxia pokazuje složenu operativnu strukturu koju je teško otkriti i zaustaviti.
GeoServer iskorištavanje
GeoServer je server otvorenog kôda koji se koristi za dijeljenje, obradu i uređivanje geoprostornih podataka. Podržava različite formate podataka i integriše se sa popularnim aplikacijama za mapiranje kao što su Google Maps i OpenLayer. Iskorištavanje GeoServer ranjivosti CVE-2024-36401 (CVSS ocjena 9.8), koja se odnosi na problem sa daljinskim izvršavanjem kôda (eng. Remote Code Execution – RCE) uzrokovan nesigurnom procjenom imena svojstava kao XPath izraza, omogućava zlonamjernom akteru da izvrši proizvoljne komande na ranjivoj instanci GeoServer.
Napad započinje spear–phishing porukama pomoću kojih se pokušava iskoristiti ranjivost CVE-2024-36401. Koristeći ovu ranjivost, zlonamjerni akter izvršava proizvoljne komande za preuzimanje ili kopiranje zlonamjernih komponenti u okruženje žrtve i izvršava ih koristeći daljinsko izvršavanje kôda (RCE). Jednom u sistemu, Earth Baxia APT grupa uspostavlja vezu sa svojim komandnim i kontrolnim serverima da bi održala postojanost i izdala dalja uputstva. Ona koristi Cobalt Strike kao početnu platformu za primjenu EAGLEDOOR backdoor zlonamjernog softvera primjenom DLL bočnog učitavanja.
Zlonamjerni softver podržava četiri metode za komunikaciju sa C2 serverom i to DNS, HTTP, TCP i korištenjem Telegram platforme. Dok se prva tri protokola koriste za prenos statusa žrtve, osnovna funkcionalnost se realizuje preko Telegram Bot API okruženja za otpremanje i preuzimanje datoteka i izvršavanje dodatnih korisnih podataka. Nakon dobijanja početnog pristupa i uspostavljanja C2 veze, Earth Baxia APT grupa može da se kreće bočno unutar ugrožene mreže da bi širio svoj zlonamjerni softver ili prikupio osjetljive informacije.
Čini se da je krajnji cilj ovih napada prikupljanje osjetljivih informacija od ciljanih organizacija unutar vladinih agencija, telekomunikacijskih preduzeća, energetske industrije i drugih sektora u nekoliko zemalja Azije i Pacifika, kao što su Filipini, Južna Koreja, Vijetnam, Tajvan i Tajland. Primjenjujući Cobalt Strike i EAGLEDOOR, Earth Baxia APT grupa ima za cilj da spusti oprez svojih žrtava koristeći GrimResource i AppDomainManager tehnike ubrizgavanja. Ovi napadi mogu dovesti do ugrožavanja podataka, kompromitovanja sistema ili drugih oblika štete u zavisnosti od specifičnih ciljeva grupe i bezbjednosnog stava ciljane organizacije.
ZAKLJUČAK
Earth Baxia APT grupa predstavlja značajan izazov za sajber bezbjednost za zemlje Azije i Pacifika zbog svojih naprednih sposobnosti i prilagodljivosti u izvođenju ciljanih napada na kritične infrastrukturne sektore.
Lanac napada ove grupe pokazuje napredni nivo sofisticiranosti i prilagodljivosti u njihovim sajber operacijama. Njihova sposobnost da iskorišćavaju ranjivosti kao što je CVE-2024-36401, primjenjuju prilagođeni zlonamjerni softver kao što su komponente Cobalt Strike i EAGLEDOOR i koriste prikrivene tehnike kao što su GrimResource i AppDomainManager injekcije čine grupu strašnom prijetnjom.
Razumijevanjem taktika, tehnika i procedura koje koristi ova grupa, organizacije mogu bolje da se pripreme i primjene efikasne protivmjere protiv ovakvih prijetnji. Borba protiv sajber kriminala zahteva kolektivne napore vlada, subjekata iz privatnog sektora i stručnjaka za sajber bezbjednost širom sveta kako bi se osigurala sigurnija digitalna budućnost za sve.
ZAŠTITA
Za efikasnu zaštitu od potencijalnih sajber napada od strane APT grupa, ključno je primijeniti višestrani pristup koji obuhvata različite aspekte sajber bezbjednosti. Evo nekoliko preporuka:
- Redovna i stalna obuka za podizanje svest o phishing napadima za zaposlene je od suštinskog značaja, jer je poznato da Earth Baxia APT grupa koristi spear–phishing tehnike za pristup ciljanim sistemima. Ova obuka treba da obuhvati identifikaciju sumnjivih elektronskih poruka, prepoznavanje uobičajenih phishing taktika i razumijevanje bezbjednih praksi elektronske pošte,
- Primjena višeslojnih zaštitnih rješenja je od vitalnog značaja za rano otkrivanje i prevenciju prijetnji. Ova rješenja bi trebalo da obuhvataju antivirusni softver, sisteme za otkrivanje upada (eng. intrusion detection systems – IDS), zaštitne zidove i mrežne prolaze elektronske pošte sa filterima za neželjenu poštu kako bi se blokirale prijetnje u različitim fazama lanca zaraze zlonamjernim softverom,
- Održavanje svih komponenti sistema ažurnim je od suštinskog značaja, jer je poznato da Earth Baxia APT iskorištava ranjivosti u softveru kao što je GeoServer (CVE-2024-36401). Obezbjeđivanje da se sistemi redovno ažuriraju najnovijim bezbjednosnim ispravkama može pomoći u zaštiti od takvih prijetnji,
- Implementacija segmentacije mreže može ograničiti mogućnost zlonamjernih aktera da se kreće bočno unutar mreže, što mu otežava pristup osjetljivim podacima ili kritičnoj infrastrukturi. Izolovanjem ključnih sredstava i ograničavanjem komunikacije između segmenata, uticaj potencijalnog ugrožavanja može se smanjiti,
- S obzirom na to da je poznato da Earth Baxia APT koristi usluge javnog oblaka za skladištenje zlonamjernih datoteka, neophodno je pažljivo pratiti ove usluge. Primjena bezbjednosnih mjera kao što su kontrola pristupa, šifrovanje i sistemi za otkrivanje upada (IDS) na resurse javnog oblaka može pomoći u zaštiti od potencijalnih prijetnji,
- Posjedovanje dobro definisanog Plan odgovora na sajber prijetnju može pomoći organizacijama da brzo reaguju na sajber napade kada do njih dođe. Ovaj plan treba da navede korake koje treba preduzeti tokom napada, uključujući identifikaciju i izolovanje pogođenih sistema, koji sadrže prijetnju, iskorjenjivanje bilo kakvog zlonamjernog softvera ili kompromitovanih podataka, oporavak od napada i učenje iz iskustva za poboljšanje buduće odbrane,
- Rad sa drugim organizacijama i platformama za dijeljenje obavještajnih podataka o prijetnjama može pomoći u pružanju vrijednih uvida u aktuelne sajber prijetnje, kao što su taktike, tehnike i procedure kompanije Earth Baxia APT. Ova saradnja može omogućiti organizacijama da se bolje pripreme za potencijalne napade i efikasnije odgovore kada se dogode,
- Sprovođenje redovnih bezbjednosnih provjera može pomoći u identifikaciji ranjivosti unutar mreže i sistema organizacije. Ove revizije treba da pokriju sve aspekte pejzaža sajber bezbjednosti, uključujući hardver, softver, mreže i korisničke prakse. Proaktivnim rješavanjem identifikovanih slabosti, organizacije mogu da smanje svoju ukupnu izloženost riziku,
- Pružanje stalne edukacije zaposlenima o bezbjednim internet praksama, upravljanju lozinkama i bezbjednom rukovanju podacima je od suštinskog značaja za održavanje snažnog stava o sajber bezbjednosti. Ovo obrazovanje treba da bude prilagođeno specifičnim potrebama svake organizacije i njenih zaposlenih, uzimajući u obzir faktore kao što su uloge posla, nivoi pristupa i potencijalni vektori prijetnji.
Primjenom ovih preporuka, organizacije mogu bolje da se zaštite od naprednih prednji poput Earth Baxia APT grup i održavaju bezbjedno digitalno okruženje u sve složenijem okruženju sajber bezbjednosti.
