یک عامل تهدید پیشرفته (APT) از چین، سازمانهای دولتی تایوان و کشورهای دیگر در منطقه آسیا-اقیانوسیه (APAC) را با بهرهبرداری از نقص امنیتی حیاتی با شناسه CVE-2024-36401 و امتیاز CVSS: 9.8 که اخیراً وصله شده و بر OSGeo GeoServer GeoTools تأثیر میگذارد، هدف قرار داد.
فعالیت نفوذی که توسط Trend Micro در جولای 2024 شناسایی شد، به عامل تهدیدی به نام Earth Baxia نسبت داده شده است. بر اساس ایمیلهای فیشینگ جمعآوری شده، اسناد فریبنده و مشاهدات از حوادث، به نظر میرسد که هدفها عمدتاً سازمانهای دولتی، مشاغل مخابراتی و صنعت انرژی در فیلیپین، کره جنوبی، ویتنام، تایوان و تایلند هستند.
فرآیند زنجیره آلودگی چند مرحلهای با استفاده از دو تکنیک مختلف شامل ایمیلهای فیشینگ نیزهای (spear-phishing) و بهرهبرداری از نقص GeoServer (CVE-2024-3640)، نهایتا بدافزار Cobalt Strike و یک درب پشتی ناشناخته موسوم به EAGLEDOOR را ارائه دهد. که امکان جمع آوری اطلاعات و تحویل payload را فراهم میکند.
https://thehackernews.com/2024/09/chinese-hackers-exploit-geoserver-flaw.html
