Mae Aquatic Panda, cydweithfa hacio Tsieineaidd, wedi defnyddio bregusrwydd Log4j yn uniongyrchol i ymosod ar sefydliad academaidd heb ei ddatgelu. Cafodd yr ymosodiad ei ddarganfod a'i wrthweithio gan arbenigwyr hela bygythiol CrowdStrike's Overwatch.
Yn ôl CrowdStrike, lansiodd hacwyr Tsieineaidd (wladwriaeth) ymosodiad ar sefydliad academaidd dienw gan ddefnyddio bregusrwydd Log4j a ddarganfuwyd. Canfuwyd y bregusrwydd hwn mewn achos VMware Horizon bregus o'r sefydliad yr effeithiwyd arno.
Enghraifft VMware Horizon
Darganfu helwyr bygythiad CrowdStrike yr ymosodiad ar ôl gweld traffig amheus o broses Tomcat yn rhedeg o dan yr achos yr effeithiwyd arno. Fe wnaethon nhw fonitro'r traffig hwn a phenderfynu o'r telemetreg bod fersiwn wedi'i addasu o Log4j yn cael ei ddefnyddio i dreiddio i'r gweinydd. Cynhaliodd hacwyr Tsieineaidd yr ymosodiad gan ddefnyddio prosiect GitHub cyhoeddus a gyhoeddwyd ar Ragfyr 13.
Datgelodd monitro pellach o'r gweithgaredd hacio fod y hacwyr Panda Dyfrol yn defnyddio binaries OS brodorol i ddeall lefelau braint a manylion eraill y systemau a'r amgylchedd parth. Canfu arbenigwyr CrowdStrike hefyd fod yr hacwyr yn ceisio rhwystro gweithrediadau datrysiad canfod ac ymateb trydydd parti gweithredol (EDR).
Yna parhaodd yr arbenigwyr OverWatch i fonitro gweithgareddau'r hacwyr ac roeddent yn gallu hysbysu'r sefydliad dan sylw am gynnydd yr haciwr. Gallai'r sefydliad academaidd weithredu ar hyn ei hun a chymryd y mesurau rheoli angenrheidiol a chlytio'r cymhwysiad bregus.
Hacwyr Panda dyfrol
Mae'r grŵp hacio Tsieineaidd Aquatic Panda wedi bod yn weithredol ers mis Mai 2020. Mae'r hacwyr yn canolbwyntio'n gyfan gwbl ar gasglu gwybodaeth ac ysbïo diwydiannol. I ddechrau, canolbwyntiodd y grŵp yn bennaf ar gwmnïau yn y sector telathrebu, y sector technoleg a llywodraethau.
Mae'r hacwyr yn defnyddio'r setiau offer Cobalt Strike fel y'u gelwir yn bennaf, gan gynnwys y dadlwythwr unigryw Cobalt Strike Fishmaster. Mae hacwyr Tsieineaidd hefyd yn defnyddio technegau fel llwythi tâl njRAt i gyrraedd targedau.
Log Monitro4j bwysig
Mewn ymateb i'r digwyddiad hwn, dywedodd CrowdStrike fod bregusrwydd Log4j yn gamfanteisio peryglus iawn ac y byddai cwmnïau a sefydliadau'n gwneud yn dda i fetio a hefyd clytio eu systemau ar gyfer y bregusrwydd hwn.