Odkrywając nową falę cyberzagrożeń, eksperci z zakresu cyberbezpieczeństwa odkryli złożoną operację związaną z malware’m powiązanym z chińską grupą hakerską. To najnowsze zagrożenie dotyczy wykorzystania złośliwego oprogramowania EAGLEDOOR poprzez podatności w GeoServerze, serwerze opartym na Javie o otwartym kodzie, znakomitym z powodu możliwości przetwarzania danych geoprzestrzennych.
Zamiast cytować szczegóły z początkowego raportu, ataki były przeprowadzone przez grupę Earth Baxia, która miała na celu sektory kluczowe dla regionu Azji i Pacyfiku. Wykorzystując taktyki spear-phishingu i wykorzystując krytyczną podatność (CVE-2024-36401) w GeoServerze, cyberprzestępcy infiltrowali sieci, korzystając z maskowanych plików MSC. Następne wdrożenie tylnych drzwi EAGLEDOOR pokazywało wysoki stopień dostosowania i złożoność operacyjną, z protokołami komunikacyjnymi obejmującymi DNS, HTTP, TCP, a nawet Telegram.
W celu utrzymania trwałości i uniknięcia wykrycia, sprawcy zagrożeń sięgnęli po skomplikowane techniki obfuskacji, łącznie z kodowaniem Base64 i szyfrowaniem AES. Wydobycie wrażliwych danych obejmowało wykorzystanie usług chmury publicznej i zaawansowane metody przesyłania skradzionych informacji do wyznaczonego serwera.
To odkrycie podkreśla rozwijający się krajobraz zagrożeń cyberbezpieczeństwa, podkreślając znaczenie proaktywnych działań, takich jak ciągłe szkolenia w zakresie świadomości dotyczącej phishingu, solidne rozwiązania bezpieczeństwa i rygorystyczne praktyki z zakresu cyberbezpieczeństwa. W miarę radzenia sobie przez organizacje z tymi skomplikowanymi wyzwaniami dotyczącymi bezpieczeństwa, pozostawanie czujnym i poinformowanym jest kluczowe dla obrony przed zaawansowanymi zagrożeniami cybernetycznymi.
