今年6月下旬地理位置资讯伺服器GeoServer修补重大层级漏洞CVE-2024-36401(CVSS风险评分为9.8),时隔不到一个月,美国网路安全暨基础设施安全局(CISA)证实已出现攻击行动。先前通报漏洞的资安业者Fortinet,,骇客利用钓鱼邮件及CVE-2024-36401取得初始入侵管道,而能在受害主机植入Cobalt Strike相关元件,当中使用后门程式EagleDoor。研究人员根据骇客使用的伺服器进行调查,发现大部分架设在阿里云,或是位于香港,而且,骇客使用的部分恶意程式样本先前曾从中国上传至VirusTotal,再加上Cobalt Strike伺服器多数位于中国,因此他们推测这些APT骇客来自中国。
究竟这些骇客的攻击目标为何?研究人员根据他们取得的钓鱼邮件、诱饵档案等资料,认为主要目标似乎是台湾、菲律宾、韩国、越南、泰国的政府机关、电信业者、能源产业。但后来他们发现,中国也是这些骇客下手的范围,不过,研究人员无法确认当地有那些产业受害。
研究人员特别提及骇客利用GeoServer漏洞的情况,骇客先是下达curl和scp于受害主机下载、部署Cobalt Strike相关元件,然后借由CVE-2024-36401执行。他们将Cobalt Strike伪装成Edge,并透过DLL侧载手法解密、载入Shell Code,最终于记忆体内执行EagleDoor。
特别的是,这个后门程式能运用4种管道向C2伺服器进行通讯,这些包含DNS、HTTP、TCP通讯协定,最后一种则是透过加密通讯软体Telegram进行,而这些方法当中,前3种利用指定通讯协定的方式,目的是传送受害电脑的系统状态资讯,至于主要的后门功能,像是档案的下载、更新、送出,以及传讯,实际上是利用Telegram的机器人API来进行,从受害电脑收集、窃取机密资料,再利用curl外流。
值得留意的是,这些骇客于8月初调整攻击手法,开始使用钓鱼邮件做为接触受害组织的手段,这些邮件会挟带名为Ripcoy的诱饵档案,此为微软管理主控台的单元控制档案类型(.MSC),一旦使用者开启档案,内嵌的VBScript便会利用GrimResource手法从公有云下载诱饵PDF文件、.NET应用程式及组态档案,从而载入Cobalt Strike元件进行后续攻击。