APT Earth Baxia dari Tiongkok Serang Pemerintah di Asia Pasifik

Advanced Persistent Threat (APT) yang berasal dari Tiongkok menargetkan organisasi pemerintah di Taiwan dan kemungkinan negara-negara lain di kawasan Asia-Pasifik (APAC) dengan mengeksploitasi kelemahan keamanan kritis yang baru-baru ini ditambal. Kelemahan ini berdampak pada OSGeo GeoServer GeoTools.

Aktivitas intrusi ini, yang terdeteksi oleh Trend Micro pada Juli 2024, telah dikaitkan dengan ancaman aktor yang dikenal dengan nama Earth Baxia. Penelitian yang dilakukan oleh Ted Lee, Cyris Tseng, Pierre Lee, Sunny Lu,dan Philip Chen menunjukkan bahwa sasaran utama dari ancaman ini adalah lembaga pemerintah, bisnis telekomunikasi dan industri energi di Filipina, Korea Selatan, Vietnam, Taiwan dan Thailand, berdasarkan bukti dari email phishing yang dikumpulkan, dokumen umpan, dan pengamatan dari kejadian.

Temuan dokumen umpan dalam bahasa Mandarin Sederhana juga menunjukkan bahwa Cina merupakan salah satu negara yang terkena dampak. Meskipun demikian, perusahaan keamanan siber tersebut mengungkapkan bahwa mereka tidak memiliki informasi yang cukup untuk menentukan sektor spesifik di negara tersebut yang menjadi target.

Proses rantai infeksi yang teridentifikasi memiliki beberapa tahapan yang memanfaatkan dua teknik berbeda, yaitu melalui email spear-phishing dan eksploitasi kelemahan GeoServer (CVE-2024-36401, dengan skor CVSS: 9.8). Teknik ini digunakan untuk mengirimkan Cobalt Strike dan backdoor yang sebelumnya tidak dikenal, bernama EAGLEDOOR, yang memungkinkan pengumpulan informasi dan mengirimkan muatan berbahaya.

Para peneliti mencatat bahwa aktor ancaman menerapkan injeksi GrimResource dan AppDomainManager untuk menurunkan kewaspadaan korban dengan mengirimkan muatan tambahan. Metode ini digunakan untuk mengunduh malware tahap berikutnya melalui file MSC umpan yang diberi nama RIPCOY, yang disematkan di dalam lampiran arsip ZIP.

Selain itu, perusahaan keamanan siber Jepang NTT Security Holdings baru-baru ini meluncurkan klaster aktivitas yang terkait dengan APT41, yang juga menggunakan dua teknik yang sama untuk menargetkan Taiwan, militer Filipina, dan organisasi energi di Vietnam. Kemungkinan besar intrusi set kedua ini terkait, mengingat ada tumpang tindih dalam penggunaan domain command-and-control (C2) Cobalt Strike yang meniru layanan seperti Amazon Web Services dan Microsoft Azure.

Tujuan utama dari serangan ini adalah untuk mendistribusikan varian spesifik dari Cobalt Strike, yang berfungsi sebagai platform untuk meluncurkan pintu belakang EAGLEDOOR melalui pemuatan samping DLL. Malware ini mendukung empat metode komunikasi dengan server C2 melalui DNS, HTTP, TCP, dan Telegram. Tiga protokol pertama digunakan untuk mengirimkan status korban, sementara fungsionalitas inti diimplementasikan melalui Telegram Bot API untuk mengunggah dan mengunduh file, serta menjalankan muatan tambahan. Data yang diperoleh di eksfiltrasi menggunakan curl.exe.

Pada akhirnya, Earth Baxia, yang kemungkinan besar berbasis di Tiongkok, melaksanakan kampanye canggih yang menargetkan pemerintah dan sektor energi di sejumlah negara di Asia Pasifik. Teknik canggih yang digunakan, seperti eksploitasi GeoServer, spear-phishing, dan malware yang disesuaikan (Cobalt Strike dan EAGLEDOOR), menunjukkan upaya mereka untuk menyusup dan mengeksfiltrasi data. Penggunaan layanan cloud public untuk menghosting file berbahaya serta dukungan multi-protocol EAGLEDOOR menegaskan kompleksitas dan kemampuan adaptasi dari operasi yang dilakukan.