Aquatic Panda, un cullettivu di pirate cinese, hà utilizatu direttamente a vulnerabilità Log4j per attaccà una istituzione accademica non divulgata. L'attaccu hè statu scupertu è cuntrastatu da i specialisti di caccia di minacce Overwatch di CrowdStrike.
Sicondu CrowdStrike, i pirate cinesi (statu) anu lanciatu un attaccu à una istituzione accademica senza nome cù una vulnerabilità Log4j scuperta. Questa vulnerabilità hè stata trovata in una vulnerabile istanza VMware Horizon di l'istituzione affettata.
Esempiu di VMware Horizon
I cacciatori di minaccia di CrowdStrike anu scupertu l'attaccu dopu avè scupertu u trafficu suspettu da un prucessu Tomcat in esecuzione sottu l'istanza affettata. Monitoranu stu trafficu è determinanu da a telemetria chì una versione mudificata di Log4j hè stata aduprata per penetrà in u servitore. I pirate cinesi anu realizatu l'attaccu cù un prughjettu publicu GitHub publicatu u 13 di dicembre.
A più monitorizazione di l'attività di pirate hà revelatu chì i pirate di l'Aquatic Panda usavanu binari OS nativi per capiscenu i livelli di privilegiu è altri dettagli di i sistemi è l'ambiente di duminiu. I spezialisti di CrowdStrike anu ancu truvatu chì i pirate anu pruvatu à bluccà l'operazioni di una soluzione attiva di rilevazione è risposta di endpoint di terzu (EDR).
I specialisti di OverWatch cuntinueghjanu à seguità l'attività di i pirate è anu pussutu mantene l'istituzione in quistione infurmata di u prugressu di u pirate. L'istituzione accademica puderia agisce nantu à questu stessu è piglià e misure di cuntrollu necessarie è patch l'applicazione vulnerabile.
Hackers di panda acquaticu
U gruppu di pirate cinese Aquatic Panda hè attivu da maghju 2020. I pirate fucalizzanu solu in a raccolta di intelligenza è l'espionamentu industriale. Inizialmente, u gruppu si concentrava principarmenti in l'imprese in u settore di e telecomunicazioni, u settore di a tecnulugia è i guverni.
I pirate usanu principalmente i cosiddetti setti di strumenti Cobalt Strike, cumpresu l'unicu scaricatore di Cobalt Strike Fishmaster. I pirate chinesi utilizanu ancu tecniche cum'è njRAt payloads per chjappà i miri.
Monitoring Log4j impurtante
In risposta à questu incidente, CrowdStrike hà dichjaratu chì a vulnerabilità Log4j hè un sfruttamentu seriamente periculosu è chì l'imprese è l'istituzioni farianu bè à vet è ancu patch i so sistemi per questa vulnerabilità.