今年6月下旬地理位置信息服务器GeoServer修补重大层级漏洞CVE-2024-36401（CVSS风险评分为9.8），时隔不到一个月，美国网络安全暨基础设施安全局（CISA）证实已出现攻击行动。先前通报漏洞的资安业者Fortinet，透露相关资安事故，并指出从事活动的攻击者，同时运用中国黑客惯用的恶意程序SideWalk，本周有其他资安公司公布新的攻击行动。

根据趋势科技昨天揭露的调查报告指出，名为Earth Baxia的黑客组织今年7月针对台湾某个政府机关发动攻击，黑客利用钓鱼邮件及CVE-2024-36401取得初始入侵管道，而能在受害主机植入Cobalt Strike相关组件，当中使用后门程序EagleDoor。研究人员根据黑客使用的服务器进行调查，发现大部分架设在阿里云，或是位于香港，而且，黑客使用的部分恶意程序样本先前曾从中国上传至VirusTotal，再加上Cobalt Strike服务器多数位于中国，因此他们推测这些APT黑客来自中国。

究竟这些黑客的攻击目标为何？研究人员根据他们取得的钓鱼邮件、诱饵文件等数据，认为主要目标似乎是台湾、菲律宾、韩国、越南、泰国的政府机关、电信业者、能源产业。但后来他们发现，中国也是这些黑客下手的范围，不过，研究人员无法确认当地有那些产业受害。

研究人员特别提及黑客利用GeoServer漏洞的情况，黑客先是下达curl和scp于受害主机下载、部署Cobalt Strike相关组件，然后借由CVE-2024-36401运行。他们将Cobalt Strike伪装成Edge，并通过DLL侧载手法解密、加载Shell Code，最终于内存内运行EagleDoor。

特别的是，这个后门程序能运用4种管道向C2服务器进行通信，这些包含DNS、HTTP、TCP通信协定，最后一种则是通过加密通信软件Telegram进行，而这些方法当中，前3种利用指定通信协定的方式，目的是发送受害电脑的系统状态信息，至于主要的后门功能，像是文件的下载、更新、送出，以及传讯，实际上是利用Telegram的机器人API来进行，从受害电脑收集、窃取机密数据，再利用curl外流。

值得留意的是，这些黑客于8月初调整攻击手法，开始使用钓鱼邮件做为接触受害组织的手段，这些邮件会挟带名为Ripcoy的诱饵文件，此为微软管理主控台的单元控制文件类型（.MSC），一旦用户打开文件，内嵌的VBScript便会利用GrimResource手法从公有云下载诱饵PDF文档、.NET应用程序及组态文件，从而加载Cobalt Strike组件进行后续攻击。