Çinli haker kollektivi Aquatic Panda, açıqlanmayan akademik instituta hücum etmək üçün birbaşa Log4j zəifliyindən istifadə edib. Hücum CrowdStrike-in Overwatch təhdid ovçuluğu mütəxəssisləri tərəfindən aşkar edilib və qarşısı alınıb.
CrowdStrike-in məlumatına görə, Çinli (ştat) hakerlər aşkar edilmiş Log4j zəifliyindən istifadə edərək adı açıqlanmayan bir akademik müəssisəyə hücum edib. Bu boşluq təsirə məruz qalan qurumun həssas VMware Horizon instansiyasında aşkar edilib.
VMware Horizon nümunəsi
CrowdStrike-in təhdid ovçuları, təsirə məruz qalan nümunə altında işləyən Tomcat prosesindən şübhəli trafiki gördükdən sonra hücumu aşkar etdilər. Onlar bu trafikə nəzarət etdilər və telemetriyadan müəyyən etdilər ki, Log4j-in dəyişdirilmiş versiyası serverə nüfuz etmək üçün istifadə olunur. Çinli hakerlər hücumu dekabrın 13-də dərc edilmiş ictimai GitHub layihəsindən istifadə edərək həyata keçiriblər.
Hack fəaliyyətinin sonrakı monitorinqi nəticəsində məlum oldu ki, Aquatic Panda hakerləri sistemlərin və domen mühitinin imtiyaz səviyyələrini və digər təfərrüatlarını başa düşmək üçün yerli OS ikili proqramlarından istifadə edirlər. CrowdStrike-in mütəxəssisləri həmçinin aşkar ediblər ki, hakerlər üçüncü tərəfin aktiv son nöqtənin aşkarlanması və cavablandırılması (EDR) həllinin əməliyyatlarını bloklamağa cəhd ediblər.
Daha sonra OverWatch mütəxəssisləri hakerlərin fəaliyyətini izləməyə davam etdilər və sözügedən qurumu sındırmanın gedişatı barədə məlumatlandıra bildilər. Akademik qurum özü bununla bağlı hərəkətə keçib, lazımi nəzarət tədbirləri görüb həssas tətbiqi yamaqlaya bilər.
Su Panda Hakerləri
Çin haker qrupu Aquatic Panda 2020-ci ilin may ayından fəaliyyət göstərir. Hakerlər yalnız kəşfiyyat məlumatlarının toplanması və sənaye casusluğuna diqqət yetirirlər. Əvvəlcə qrup əsasən telekommunikasiya sektorundakı şirkətlərə, texnologiya sektoruna və hökumətlərə diqqət yetirirdi.
Hakerlər əsasən Cobalt Strike adlanan alət dəstlərindən, o cümlədən unikal Cobalt Strike yükləyicisi Fishmasterdən istifadə edirlər. Çinli hakerlər hədəfləri vurmaq üçün njRAt yükləri kimi üsullardan da istifadə edirlər.
Log4j monitorinqi vacibdir
Bu hadisəyə cavab olaraq, CrowdStrike bildirdi ki, Log4j zəifliyi ciddi təhlükəli istismardır və şirkətlər və qurumlar bu zəifliyə görə sistemlərini yoxlamalı və yamamalıdırlar.