استخدمت Aquatic Panda ، وهي مجموعة قرصنة صينية ، ثغرة Log4j بشكل مباشر لمهاجمة مؤسسة أكاديمية لم يتم الكشف عنها. تم اكتشاف الهجوم والتصدي له من قبل متخصصي الصيد في Overwatch من CrowdStrike.
وفقًا لـ CrowdStrike ، شن قراصنة (الدولة) الصينيون هجومًا على مؤسسة أكاديمية لم يتم الكشف عنها باستخدام ثغرة Log4j المكتشفة. تم العثور على هذه الثغرة الأمنية في مثيل VMware Horizon الضعيف للمؤسسة المتأثرة.
مثيل برنامج VMware Horizon
اكتشف صائدو التهديدات في CrowdStrike الهجوم بعد اكتشاف حركة مرور مشبوهة من عملية Tomcat التي تعمل تحت الحالة المتأثرة. راقبوا حركة المرور هذه وقرروا من القياس عن بعد أن نسخة معدلة من Log4j كانت تستخدم لاختراق الخادم. نفذ القراصنة الصينيون الهجوم باستخدام مشروع GitHub عام نُشر في 13 ديسمبر.
كشفت المراقبة الإضافية لنشاط القرصنة أن متسللي Aquatic Panda كانوا يستخدمون ثنائيات نظام التشغيل الأصلية لفهم مستويات الامتياز والتفاصيل الأخرى للأنظمة وبيئة المجال. وجد متخصصو CrowdStrike أيضًا أن المتسللين كانوا يحاولون منع عمليات اكتشاف نقطة النهاية والاستجابة لها (EDR).
واصل متخصصو OverWatch بعد ذلك مراقبة أنشطة المتسللين وتمكنوا من إبقاء المؤسسة المعنية على علم بتقدم الاختراق. يمكن للمؤسسة الأكاديمية أن تعمل على هذا الأمر بنفسها وتتخذ تدابير الرقابة اللازمة وتصحيح التطبيق الضعيف.
قراصنة الباندا المائية
تنشط مجموعة القرصنة الصينية Aquatic Panda منذ مايو 2020. يركز المتسللون حصريًا على جمع المعلومات الاستخباراتية والتجسس الصناعي. في البداية ، ركزت المجموعة بشكل أساسي على الشركات في قطاع الاتصالات وقطاع التكنولوجيا والحكومات.
يستخدم المتسللون بشكل أساسي ما يسمى بمجموعات أدوات Cobalt Strike ، بما في ذلك أداة تنزيل Cobalt Strike الفريدة Fishmaster. يستخدم المتسللون الصينيون أيضًا تقنيات مثل حمولات njrat لضرب الأهداف.
مراقبة Log4j مهمة
رداً على هذا الحادث ، صرح CrowdStrike أن ثغرة Log4j هي استغلال خطير للغاية وأن الشركات والمؤسسات ستفعل جيدًا لفحص وإصلاح أنظمتها أيضًا بحثًا عن هذه الثغرة الأمنية.