Aquatic Panda, čínský hackerský tým, přímo použil zranitelnost Log4j k útoku na nezveřejněnou akademickou instituci. Útok objevili a čelili specialistům na lov hrozeb Overwatch z CrowdStrike.
Podle CrowdStrike zahájili čínští (státní) hackeři útok na nejmenovanou akademickou instituci pomocí objevené zranitelnosti Log4j. Tato chyba zabezpečení byla nalezena ve zranitelné instanci VMware Horizon dotčené instituce.
Instance VMware Horizon
Lovci hrozeb CrowdStrike objevili útok poté, co zaznamenali podezřelý provoz z procesu Tomcat běžícího pod postiženou instancí. Monitorovali tento provoz a z telemetrie určili, že k proniknutí na server byla použita upravená verze Log4j. Čínští hackeři provedli útok pomocí veřejného projektu GitHub zveřejněného 13. prosince.
Další sledování hackerské aktivity odhalilo, že hackeři Aquatic Panda používali nativní binární soubory OS, aby pochopili úrovně oprávnění a další podrobnosti o systémech a prostředí domény. Specialisté CrowdStrike také zjistili, že se hackeři pokoušeli zablokovat operace aktivního řešení pro detekci a odezvu koncových bodů (EDR) třetí strany.
Specialisté OverWatch pak pokračovali v monitorování aktivit hackerů a byli schopni průběžně informovat dotyčnou instituci o postupu hacku. Akademická instituce by na to mohla sama zasáhnout a přijmout nezbytná kontrolní opatření a zranitelnou aplikaci záplatovat.
Hackeři vodních pand
Čínská hackerská skupina Aquatic Panda je aktivní od května 2020. Hackeři se zaměřují výhradně na shromažďování zpravodajských informací a průmyslovou špionáž. Zpočátku se skupina zaměřovala především na společnosti v sektoru telekomunikací, technologického sektoru a vlád.
Hackeři využívají především takzvané sady nástrojů Cobalt Strike, včetně unikátního stahování Cobalt Strike Fishmaster. Čínští hackeři také používají techniky, jako je užitečné zatížení njRAt, aby zasáhli cíle.
Důležité je monitorování Log4j
V reakci na tento incident CrowdStrike uvedl, že zranitelnost Log4j je vážně nebezpečným zneužitím a že společnosti a instituce by udělaly dobře, kdyby prověřily a také opravily své systémy na tuto zranitelnost.