Aquatic Panda, un col·lectiu de pirates informàtics xinès, ha utilitzat directament la vulnerabilitat Log4j per atacar una institució acadèmica no revelada. L'atac va ser descobert i rebutjat pels especialistes en caça d'amenaces d'Overwatch de CrowdStrike.
Segons CrowdStrike, els pirates informàtics xinesos (estatals) van llançar un atac a una institució acadèmica sense nom mitjançant una vulnerabilitat Log4j descoberta. Aquesta vulnerabilitat es va trobar en una instància vulnerable de VMware Horizon de la institució afectada.
Instància de VMware Horizon
Els caçadors d'amenaces de CrowdStrike van descobrir l'atac després de detectar trànsit sospitós d'un procés Tomcat que s'executava sota la instància afectada. Van supervisar aquest trànsit i van determinar a partir de la telemetria que s'estava utilitzant una versió modificada de Log4j per penetrar al servidor. Els pirates informàtics xinesos van dur a terme l'atac mitjançant un projecte públic de GitHub publicat el 13 de desembre.
Un seguiment addicional de l'activitat de pirateria va revelar que els pirates informàtics Aquatic Panda estaven utilitzant binaris del sistema operatiu nadiu per entendre els nivells de privilegis i altres detalls dels sistemes i l'entorn del domini. Els especialistes de CrowdStrike també van trobar que els pirates informàtics estaven intentant bloquejar les operacions d'una solució activa de detecció i resposta de punts finals de tercers (EDR).
Aleshores, els especialistes d'OverWatch van continuar supervisant les activitats dels pirates informàtics i van poder mantenir informada a la institució en qüestió del progrés del pirateig. La institució acadèmica podria actuar per si mateixa i prendre les mesures de control necessàries i pegar l'aplicació vulnerable.
Hackers de panda aquàtic
El grup de pirates informàtics xinès Aquatic Panda està actiu des del maig de 2020. Els hackers se centren exclusivament en la recollida d'intel·ligència i l'espionatge industrial. Inicialment, el grup es va centrar principalment en empreses del sector de les telecomunicacions, el sector tecnològic i els governs.
Els pirates informàtics utilitzen principalment els anomenats conjunts d'eines Cobalt Strike, inclòs l'únic descarregador de Cobalt Strike Fishmaster. Els pirates informàtics xinesos també utilitzen tècniques com les càrregues útils njRAt per colpejar objectius.
Monitorització de Log4j important
En resposta a aquest incident, CrowdStrike va declarar que la vulnerabilitat Log4j és una explotació seriosament perillosa i que les empreses i les institucions farien bé a verificar i també pegar els seus sistemes per a aquesta vulnerabilitat.