Aquatic Panda, 'n Chinese inbraak-kollektief, het die Log4j-kwesbaarheid direk gebruik om 'n onbekende akademiese instelling aan te val. Die aanval is ontdek en teëgewerk deur CrowdStrike se Overwatch-dreigjagspesialiste.
Volgens CrowdStrike het die Chinese (staats-) kuberkrakers 'n aanval op 'n naamlose akademiese instelling geloods deur 'n ontdekte Log4j-kwesbaarheid te gebruik. Hierdie kwesbaarheid is gevind in 'n kwesbare VMware Horizon-geval van die geaffekteerde instelling.
VMware Horizon-instansie
CrowdStrike se dreigementjagters het die aanval ontdek nadat hulle verdagte verkeer van 'n Tomcat-proses gesien het wat onder die betrokke geval loop. Hulle het hierdie verkeer gemonitor en uit die telemetrie vasgestel dat 'n gewysigde weergawe van Log4j gebruik word om die bediener binne te dring. Die Chinese kuberkrakers het die aanval uitgevoer met behulp van 'n publieke GitHub-projek wat op 13 Desember gepubliseer is.
Verdere monitering van die inbraakaktiwiteit het aan die lig gebring dat die Aquatic Panda-krakers inheemse OS-binaries gebruik het om die voorregvlakke en ander besonderhede van die stelsels en domeinomgewing te verstaan. CrowdStrike se spesialiste het ook gevind dat die kuberkrakers probeer het om die bedrywighede van 'n aktiewe derdeparty-eindpuntopsporing en -reaksie (EDR) oplossing te blokkeer.
Die OverWatch-spesialiste het toe voortgegaan om die kuberkrakers se aktiwiteite te monitor en kon die betrokke instansie op hoogte hou van die inbraak se vordering. Die akademiese instansie kan self hieroor optree en die nodige beheermaatreëls tref en die kwesbare aansoek pleister.
Aquatic Panda Hackers
Die Chinese inbraakgroep Aquatic Panda is aktief sedert Mei 2020. Die kuberkrakers fokus uitsluitlik op intelligensie-insameling en industriële spioenasie. Aanvanklik het die groep hoofsaaklik op maatskappye in die telekommunikasiesektor, die tegnologiesektor en regerings gefokus.
Die kuberkrakers gebruik hoofsaaklik die sogenaamde Cobalt Strike-gereedskapstelle, insluitend die unieke Cobalt Strike-aflaaier Fishmaster. Die Chinese kuberkrakers gebruik ook tegnieke soos njRAt-loonvragte om teikens te tref.
Monitering Log4j belangrik
In reaksie op hierdie voorval het CrowdStrike gesê dat die Log4j-kwesbaarheid 'n ernstige gevaarlike uitbuiting is en dat maatskappye en instansies goed sal doen om hul stelsels vir hierdie kwesbaarheid te ondersoek en ook te herstel.