Aquatic Panda, кітайскі хакерскі калектыў, непасрэдна выкарыстаў уразлівасць Log4j для нападу на нераскрытую акадэмічную ўстанову. Атаку выявілі і супрацьпаказалі спецыялісты па паляванні на пагрозы Overwatch кампаніі CrowdStrike.
Паводле CrowdStrike, кітайскія (дзяржаўныя) хакеры запусцілі атаку на неназваную акадэмічную ўстанову, выкарыстоўваючы выяўленую ўразлівасць Log4j. Гэтая ўразлівасць была знойдзена ва ўразлівым асобніку VMware Horizon пацярпелага ўстановы.
Асобнік VMware Horizon
Паляўнічыя за пагрозамі CrowdStrike выявілі атаку пасля таго, як заўважылі падазроны трафік з працэсу Tomcat, які працуе пад уздзеяным асобнікам. Яны сачылі за гэтым трафікам і з дапамогай тэлеметрыі вызначылі, што для пранікнення на сервер выкарыстоўваецца мадыфікаваная версія Log4j. Кітайскія хакеры здзейснілі атаку з дапамогай публічнага праекта GitHub, апублікаванага 13 снежня.
Далейшы маніторынг хакерскай дзейнасці паказаў, што хакеры Aquatic Panda выкарыстоўвалі бінарныя файлы АС, каб зразумець ўзроўні прывілеяў і іншыя дэталі сістэм і асяроддзя дамена. Спецыялісты CrowdStrike таксама выявілі, што хакеры спрабавалі заблакаваць працу актыўнага старонняга рашэння для выяўлення і рэагавання на канчатковыя кропкі (EDR).
Затым спецыялісты OverWatch працягвалі сачыць за дзейнасцю хакераў і змаглі інфармаваць інструкцыю аб хадзе ўзлому. Навуковая ўстанова магла б дзейнічаць самастойна і прыняць неабходныя меры кантролю і выправіць уразлівае прыкладанне.
Хакеры Aquatic Panda
Кітайская хакерская група Aquatic Panda дзейнічае з мая 2020 года. Хакеры сканцэнтраваны выключна на зборы разведданых і прамысловым шпіянажы. Першапачаткова група была засяроджана на кампаніях у сектары тэлекамунікацый, тэхналагічным сектары і ўрадах.
Хакеры ў асноўным выкарыстоўваюць так званыя наборы інструментаў Cobalt Strike, у тым ліку унікальны загрузнік Cobalt Strike Fishmaster. Кітайскія хакеры таксама выкарыстоўваюць такія метады, як карысныя нагрузкі njRAt, каб паражаць мэты.
Маніторынг Log4j важны
У адказ на гэты інцыдэнт CrowdStrike заявіў, што ўразлівасць Log4j з'яўляецца сур'ёзна небяспечным эксплойтам, і што кампаніям і ўстановам было б добра праверыць, а таксама выправіць свае сістэмы на наяўнасць гэтай уразлівасці.