趨勢科技(Trend Micro)近日發布報告,揭露一個疑似與中國有關的網路間諜組織「Earth Baxia」正在攻擊台灣政府機構、菲律賓和日本軍方,以及越南的能源公司。該組織利用魚叉式網路釣魚和開源地理空間數據共享軟體GeoServer的漏洞(CVE-2024-36401)入侵目標系統,在被入侵的機器上安裝Cobalt Strike客戶端或自定義後門程式EagleDoor。
趨勢科技威脅研究員Ted Lee表示:「他們的主要目標是亞太地區的政府機構和其他關鍵基礎設施,如電信業。此外,我們還發現他們用來誘騙受害者的誘餌文件與一些重要會議或國際會議有關。」
Earth Baxia的攻擊手法主要包括:
1. 魚叉式網路釣魚:發送帶有惡意檔案或連結的電子郵件,以區域性會議為誘餌。
2. 利用GeoServer漏洞:在有限的案例中,該組織利用GeoServer的已知漏洞入侵組織。
無論使用哪種方法,攻擊者接下來會使用GrimResource和AppDomainManager注入兩種技術之一來進一步入侵目標系統。AppDomainManager 注入是一種較古老但尚未廣為人知的技術,可用於載入執行惡意程式碼,並開始被國家支持的組織濫用。
成功入侵後,攻擊者會安裝自定義後門EagleDoor或盜版紅隊工具Cobalt Strike的植入程式。EagleDoor後門允許通過DNS、HTTP、TCP和Telegram進行通信,用於從受害者系統中竊取數據和安裝額外的惡意程式。
趨勢科技的分析顯示,Earth Baxia的大部分基礎設施位於中國,其攻擊目標涉及中國國家利益相關的國家。受影響的國家和地區包括菲律賓、南韓、越南、台灣和泰國,主要針對政府機構、電信企業和能源產業。
這次攻擊事件凸顯了中國似乎正在加大對亞太地區政府和企業的網路攻擊力度。近期還發現其他中國駭客組織,如「紅宮行動」(Operation Crimson Palace),成功入侵了東南亞多個目標,包括政府機構。
相關文章: 中國國家支持的間諜活動─紅宮行動在東南亞擴散
鑒於這種日益嚴重的威脅,專家建議相關組織加強網路安全防禦措施,特別注意防範魚叉式網路釣魚攻擊,並及時修補已知的軟體漏洞,尤其是像GeoServer這樣的關鍵系統。同時,提高員工的資安意識培訓也至關重要,以識別和報告可疑的電子郵件和文件。
本文轉載自Dark Reading。