{"id":1372599,"date":"2024-09-23T10:03:24","date_gmt":"2024-09-23T10:03:24","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-chinos-aprovechan-la-vulnerabilidad-de-geoserver-para-atacar-a-paises-de-asia-pacifico-con-el-malware-eagledoor\/"},"modified":"2024-09-23T10:03:29","modified_gmt":"2024-09-23T10:03:29","slug":"hackers-chinos-aprovechan-la-vulnerabilidad-de-geoserver-para-atacar-a-paises-de-asia-pacifico-con-el-malware-eagledoor","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-chinos-aprovechan-la-vulnerabilidad-de-geoserver-para-atacar-a-paises-de-asia-pacifico-con-el-malware-eagledoor\/","title":{"rendered":"Hackers chinos aprovechan la vulnerabilidad de GeoServer para atacar a pa\u00edses de Asia Pac\u00edfico con el malware EAGLEDOOR"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>23 de septiembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Espionaje cibern\u00e9tico \/ Malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Una presunta amenaza persistente avanzada (APT) originada en China atac\u00f3 a una organizaci\u00f3n gubernamental de Taiw\u00e1n, y posiblemente a otros pa\u00edses de la regi\u00f3n Asia-Pac\u00edfico (APAC), explotando una falla de seguridad cr\u00edtica recientemente parcheada que afectaba a OSGeo GeoServer GeoTools.<\/p>\n

La actividad de intrusi\u00f3n, que fue detectada por Trend Micro en julio de 2024, se ha atribuido a un actor de amenazas denominado Tierra Baxia<\/strong>.<\/p>\n

“Seg\u00fan los correos electr\u00f3nicos de phishing recopilados, los documentos se\u00f1uelo y las observaciones de los incidentes, parece que los objetivos son principalmente agencias gubernamentales, empresas de telecomunicaciones y la industria energ\u00e9tica en Filipinas, Corea del Sur, Vietnam, Taiw\u00e1n y Tailandia”, dijeron los investigadores Ted Lee, Cyris Tseng, Pierre Lee, Sunny Lu y Philip Chen. dicho<\/a>.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El descubrimiento de documentos se\u00f1uelo en chino simplificado apunta a que China tambi\u00e9n es uno de los pa\u00edses afectados, aunque la empresa de ciberseguridad dijo que no tiene suficiente informaci\u00f3n para determinar qu\u00e9 sectores dentro del pa\u00eds han sido afectados.<\/p>\n

El proceso de cadena de infecci\u00f3n de m\u00faltiples etapas aprovecha dos t\u00e9cnicas diferentes, utilizando correos electr\u00f3nicos de phishing selectivo y la explotaci\u00f3n de la falla GeoServer (CVE-2024-36401, puntuaci\u00f3n CVSS: 9.8), para finalmente entregar Cobalt Strike y un backdoor previamente desconocido con nombre en c\u00f3digo EAGLEDOOR, que permite la recopilaci\u00f3n de informaci\u00f3n y la entrega de carga \u00fatil.<\/p>\n

“El actor de amenazas emplea GrimResource y Inyecci\u00f3n de AppDomainManager<\/a> para implementar cargas \u00fatiles adicionales, con el objetivo de bajar la guardia de la v\u00edctima”, se\u00f1alaron los investigadores, y agregaron que el primer m\u00e9todo se utiliza para descargar malware de siguiente etapa a trav\u00e9s de un archivo MSC se\u00f1uelo denominado RIPCOY incrustado dentro de un archivo ZIP adjunto.<\/p>\n

\"Malware<\/a><\/div>\n

Vale la pena mencionar aqu\u00ed que la empresa japonesa de ciberseguridad NTT Security Holdings recientemente… detallado<\/a> un grupo de actividades con v\u00ednculos a APT41 que, seg\u00fan dijo, utiliz\u00f3 las mismas dos t\u00e9cnicas para atacar a Taiw\u00e1n, al ej\u00e9rcito de Filipinas y a organizaciones energ\u00e9ticas vietnamitas.<\/p>\n

Es probable que estos dos conjuntos de intrusiones est\u00e9n relacionados, dado el uso superpuesto de los dominios de comando y control (C2) de Cobalt Strike que imitan a Amazon Web Services, Microsoft Azure (por ejemplo, “s3cloud-azure”, “s2cloud-amazon”, “s3bucket-azure” y “s3cloud-azure”) y el propio Trend Micro (“trendmicrotech”).<\/p>\n

El objetivo final de los ataques es implementar una variante personalizada de Cobalt Strike, que act\u00faa como plataforma de lanzamiento para la puerta trasera EAGLEDOOR (“Eagle.dll”) a trav\u00e9s de la carga lateral de DLL.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/section>\n

El malware admite cuatro m\u00e9todos para comunicarse con el servidor C2 a trav\u00e9s de DNS, HTTP, TCP y Telegram. Si bien los primeros tres protocolos se utilizan para transmitir el estado de la v\u00edctima, la funcionalidad principal se realiza a trav\u00e9s de la API de Telegram Bot para cargar y descargar archivos y ejecutar cargas \u00fatiles adicionales. Los datos recopilados se extraen a trav\u00e9s de curl.exe.<\/p>\n

“Earth Baxia, probablemente con sede en China, llev\u00f3 a cabo una sofisticada campa\u00f1a dirigida a los sectores gubernamentales y energ\u00e9ticos en varios pa\u00edses de APAC”, se\u00f1alaron los investigadores.<\/p>\n

“Utilizaron t\u00e9cnicas avanzadas como la explotaci\u00f3n de GeoServer, el spear-phishing y malware personalizado (Cobalt Strike y EAGLEDOOR) para infiltrar y exfiltrar datos. El uso de servicios de nube p\u00fablica para alojar archivos maliciosos y el soporte multiprotocolo de EAGLEDOOR resaltan la complejidad y adaptabilidad de sus operaciones”.<\/p>\n

<\/p>\n

\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n