【样本分享】复杂网络间谍活动：Earth Baxia利用CVE-2024-36401和Cobalt Strike渗透亚太地区

概要：

近期，趋势科技报告指出，网络间谍组织Earth Baxia通过复杂的鱼叉式网络钓鱼活动和GeoServer关键漏洞CVE-2024-36401，针对台湾及亚太地区的政府组织进行攻击。这一行动旨在渗透电信、能源和政府机构等关键部门。

主要内容：

Earth Baxia的攻击始于CVE-2024-36401，这是GeoServer中的一个远程代码执行（RCE）漏洞。利用这一漏洞，攻击者能够直接下载恶意组件到受害者环境中，使用工具如“curl”和“scp”植入定制的Cobalt Strike信标和其他有效载荷。这些有效载荷的部署使攻击者能够执行任意命令，并在受感染系统中建立立足点。

除了利用漏洞，Earth Baxia还使用精心制作的鱼叉式网络钓鱼邮件来传递恶意有效载荷。这些邮件通常包含伪装成合法文件的诱饵文档和恶意附件。台湾的一家机构报告称，在两周内收到了超过70封钓鱼邮件。钓鱼附件通常会下载并执行恶意的.NET应用程序，使攻击者能够使用复杂技术如AppDomainManager注入进一步植入有效载荷。

一旦进入目标系统，Earth Baxia部署了定制版本的Cobalt Strike，通过修改其内部签名和配置结构，攻击者能够规避传统检测方法。该版本通过DLL侧加载，使安全系统更难识别恶意活动。除了Cobalt Strike，Earth Baxia还引入了名为EAGLEDOOR的新后门程序，支持包括DNS、HTTP、TCP和Telegram在内的多种通信协议，便于信息收集、数据外传和进一步的有效载荷传递。趋势科技的调查显示，Earth Baxia的大多数指挥与控制（C2）服务器托管在阿里云上，位于香港。