ATAQUES DESTAQUES

Hackers chineses exploram falha do GeoServer para implantar malware EAGLEDOOR

Hackers chineses exploram falha do GeoServer para implantar malware EAGLEDOOR

GeoServer é um servidor de código aberto escrito em Java que permite aos usuários compartilhar, processar e editar dados geoespaciais.

Ele suporta vários formatos de dados e se integra a aplicativos de mapeamento populares como “Google Maps” e “OpenLayers”, o que o torna uma ferramenta poderosa para mapeamento da web e infraestrutura de dados espaciais.

Pesquisadores da Trend Micro descobriram recentemente que hackers chineses têm explorado ativamente vulnerabilidades para implantar o malware EAGLEDOOR.

Vulnerabilidade do GeoServer EAGLEDOOR Malware

O grupo APT ligado à China, “Earth Baxia”, teve como alvo agências governamentais, telecomunicações e setores de energia em “países da APAC”, incluindo ‘Taiwan’, ‘Filipinas’, ‘Coreia do Sul’, ‘Vietnã’ e ‘Tailândia’.

Seu vetor de ataque envolveu ‘e-mails de spear-phishing’ com “arquivos MSC (RIPCOY)” maliciosos e exploração de “CVE-2024-36401”, que é uma vulnerabilidade RCE no “ GeoServer ”.

A cadeia de infecção utilizou técnicas como “injeção de AppDomainManager” e “GrimResource”, baixando cargas de serviços em nuvem (AWS, Aliyun).

Hackers chineses exploram falha do GeoServer para implantar malware EAGLEDOOR

A Earth Baxia implantou “componentes personalizados do Cobalt Strike”, incluindo um carregador de shellcode chamado “SWORDLDR” e um novo backdoor chamado “EAGLEDOOR”.

O EAGLEDOOR suporta vários protocolos de comunicação ( DNS , HTTP, TCP e Telegram), com seu carregador usando carregamento lateral de DLL (“Systemsetting.dll” e “Systemsetting.exe”).

A funcionalidade do backdoor inclui o hooking de API que é feito via “Hook.dll” e operações principais que são feitas via “Eagle.dll”.

Além disso, ele aproveita a API Bot do Telegram para comando e controle usando os seguintes métodos:

  • obterArquivo
  • obter atualizações
  • enviarDocumento
  • enviarmensagem

Aqui, para evitar a detecção e manter a persistência em sistemas comprometidos, os agentes de ameaças usaram técnicas de ofuscação como “Base64” e “criptografia AES”.

Como parte do processo de exfiltração do grupo, as informações coletadas foram arquivadas e o “curl.exe” foi usado para carregar os dados roubados em seu servidor de arquivos (152.42.243.170).

Além disso, seus métodos de acesso iniciais variaram, usando arquivos “MSC” e “LNK” para entregar conjuntos de ferramentas maliciosos.

Aqui, o “Static.krislab.site” é um desses sites, que foi utilizado para espalhar ‘documentos chamariz’, bem como ‘componentes do Cobalt Strike’ que incluíam “Edge.exe”, “msedge.dll”, “Logs.txt” entre outros, usando comandos do PowerShell.

Os pesquisadores demonstraram adaptabilidade aproveitando serviços de nuvem pública para hospedar arquivos maliciosos e incorporando suporte “multiprotocolo” no EAGLEDOOR, o que aumentou sua complexidade operacional.

Recomendações

Abaixo mencionamos todas as recomendações:

  • Implemente treinamento contínuo de conscientização sobre phishing.
  • Implante soluções de proteção em várias camadas.
  • Mantenha práticas de segurança cibernética vigilantes.

Notícias

Google Agenda usado para entregar malware diz pesquisador
BLUE TEAMDEFESA

Google Agenda usado para entregar malware diz pesquisador

Google Agenda sendo usado para distribuir malwares e burlar mecanismos de segurança.
PF agiu contra fraudadores em contas Gov.br
ATAQUES

PF agiu contra fraudadores em contas Gov.br

O alvo dos fraudadores seria contas Gov. para acesso aos dados de INSS de pessoas vivas e falecidas.
Funcionários da Coinbase causa vazamento e tem prejuízo de US$ 20 milhões por vulnerabilidade
VAZAMENTO DE DADOS

Funcionários da Coinbase causa vazamento e tem prejuízo de US$ 20 milhões por vulnerabilidade

A Coinbase informou que parte dos dados de clientes foram vazados devido ataque a funcionários.
Campanhas de phishing verifica e-mail em tempo real para roubar credenciais
PHISHING

Campanhas de phishing verifica e-mail em tempo real para roubar credenciais

Campanhas de Phishing valida remetente antes de expor ao usuário.
ChatGPT ajudou spammers a contornar filtros de segurança de mensagem para mais de 80 mil sites
DESTAQUESPHISHING

ChatGPT ajudou spammers a contornar filtros de segurança de mensagem para mais de 80 mil sites

OpenAI descobriu a violação após 4 meses.
Falha de segurança no ChatGPT se torna alvo de ataques
ATAQUES

Falha de segurança no ChatGPT se torna alvo de ataques

Pesquisadores alertam sobre tentativas massivas de exploração.
Grave falha no Apache Camel (CVE-2025-29891) exposta
ATAQUES

Grave falha no Apache Camel (CVE-2025-29891) exposta

Código de exploração divulgado.
Google fecha maior aquisição de sua história e vai comprar Wiz por US$ 32 bilhões
DESTAQUESEVENTOS

Google fecha maior aquisição de sua história e vai comprar Wiz por US$ 32 bilhões

A aquisição acontece depois que a Wiz recusou uma oferta de US$ 23 bilhões do gigante da internet no ano passado, após meses de negociações.
Por que o Google comprou Wiz por US$32 bilhões
DEFESADESTAQUES

Por que o Google comprou Wiz por US$32 bilhões

A grande aposta bilionária do Google: WIZ.
Hackers usam técnicas sofisticada para rastrear vítimas no e-mail
ATAQUES

Hackers usam técnicas sofisticada para rastrear vítimas no e-mail

Criminosos digitais estão explorando Folhas de Estilo em Cascata (CSS) para contornar filtros de spam e monitorar as atividades dos usuários.