Категории: Статия

Хакерите от китайски Aquatic Panda директно злоупотребяват с Log4j

Aquatic Panda, китайска хакерска група, директно използва уязвимостта Log4j, за да атакува неразкрита академична институция. Атаката беше открита и противодействана от специалистите по лов на заплахи в Overwatch на CrowdStrike.

Според CrowdStrike китайските (държавни) хакери са започнали атака срещу неназована академична институция, използвайки открита уязвимост Log4j. Тази уязвимост е открита в уязвим екземпляр на VMware Horizon на засегнатата институция.

Екземпляр на VMware Horizon

Ловците на заплахи на CrowdStrike откриха атаката, след като забелязаха подозрителен трафик от процес на Tomcat, работещ под засегнатия екземпляр. Те наблюдаваха този трафик и от телеметрията установиха, че модифицирана версия на Log4j се използва за проникване в сървъра. Китайските хакери извършиха атаката с помощта на публичен проект GitHub, публикуван на 13 декември.

По-нататъшното наблюдение на хакерската дейност разкри, че хакерите на Aquatic Panda са използвали двоични файлове на ОС, за да разберат нивата на привилегии и други подробности за системите и средата на домейна. Специалистите на CrowdStrike установиха също, че хакерите се опитват да блокират операциите на активно решение за откриване и отговор на крайни точки на трета страна (EDR).

След това специалистите на OverWatch продължиха да наблюдават дейността на хакерите и успяха да информират въпросната институция за напредъка на хакването. Академичната институция може сама да действа по този въпрос и да предприеме необходимите мерки за контрол и да коригира уязвимото приложение.

Хакери на водни панди

Китайската хакерска група Aquatic Panda е активна от май 2020 г. Хакерите се фокусират изключително върху събиране на разузнавателна информация и индустриален шпионаж. Първоначално групата се фокусира главно върху компании от телекомуникационния сектор, технологичния сектор и правителствата.

Прочетете също

Злонамерен софтуер или вирус ли е Svchost.exe - как да поправя??

Хакерите използват основно т. нар. набори от инструменти Cobalt Strike, включително уникалната програма за изтегляне на Cobalt Strike Fishmaster. Китайските хакери също използват техники като полезен товар njRAt, за да поразят цели.

Наблюдението на Log4j е важно

В отговор на този инцидент CrowdStrike заяви, че уязвимостта Log4j е сериозна опасна експлоатация и че компаниите и институциите биха направили добре да проверят и да поправят своите системи за тази уязвимост.

Макс Рейслер

Поздравления! Аз съм Макс, част от нашия екип за премахване на зловреден софтуер. Нашата мисия е да останем бдителни срещу развиващите се заплахи от зловреден софтуер. Чрез нашия блог ви държим в течение за най-новите опасности от зловреден софтуер и компютърни вируси, като ви предоставяме инструментите за защита на вашите устройства. Вашата подкрепа за разпространението на тази ценна информация в социалните медии е безценна в нашите колективни усилия да защитим другите.