Kineski Aquatic Panda Hakeri direktno zloupotrebljavaju Log4j

Aquatic Panda, kineski hakerski kolektiv, direktno je iskoristio ranjivost Log4j za napad na neotkrivenu akademsku instituciju. Napad su otkrili i suprotstavili se stručnjaci za lov na prijetnje CrowdStrike-a Overwatch.

Prema CrowdStrikeu, kineski (državni) hakeri su pokrenuli napad na neimenovanu akademsku instituciju koristeći otkrivenu ranjivost Log4j. Ova ranjivost je pronađena u ranjivoj VMware Horizon instanci pogođene institucije.

VMware Horizon instanca

CrowdStrike-ovi lovci na prijetnje otkrili su napad nakon što su uočili sumnjivi promet iz Tomcat procesa koji se izvodi pod pogođenom instancom. Oni su pratili ovaj promet i na osnovu telemetrije utvrdili da se modificirana verzija Log4j koristi za prodor na server. Kineski hakeri su izveli napad koristeći javni GitHub projekat objavljen 13. decembra.

Dalje praćenje hakerske aktivnosti otkrilo je da su hakeri Aquatic Panda koristili izvorne binarne datoteke OS-a da razumiju nivoe privilegija i druge detalje sistema i okruženja domena. Stručnjaci CrowdStrike-a su također otkrili da su hakeri pokušavali blokirati rad aktivnog rješenja za otkrivanje krajnjih tačaka i odgovor (EDR) treće strane.

Stručnjaci za OverWatch su zatim nastavili da prate aktivnosti hakera i bili u mogućnosti da informišu dotičnu instituciju o napretku hakovanja. Akademska institucija bi mogla sama postupiti po ovom pitanju i preduzeti potrebne mjere kontrole i zakrpiti ranjivu aplikaciju.

Aquatic Panda Hackers

Kineska hakerska grupa Aquatic Panda aktivna je od maja 2020. Hakeri se fokusiraju isključivo na prikupljanje obavještajnih podataka i industrijsku špijunažu. U početku se grupa uglavnom fokusirala na kompanije u sektoru telekomunikacija, tehnološkom sektoru i vladama.

Hakeri uglavnom koriste takozvane skupove alata Cobalt Strike, uključujući jedinstveni program za preuzimanje Cobalt Strike Fishmaster. Kineski hakeri takođe koriste tehnike kao što je njRAt korisni teret da pogode mete.

Važan nadzor Log4j

Kao odgovor na ovaj incident, CrowdStrike je naveo da je ranjivost Log4j ozbiljno opasna eksploatacija i da bi kompanije i institucije dobro provjeravale i zakrpe svoje sisteme za ovu ranjivost.