Aquatic Panda, ein chinesisches Hacker-Kollektiv, hat die Log4j-Schwachstelle direkt genutzt, um eine unbekannte akademische Einrichtung anzugreifen. Der Angriff wurde von CrowdStrikes Overwatch-Threathunting-Spezialisten entdeckt und abgewehrt.
Laut CrowdStrike starteten die chinesischen (staatlichen) Hacker einen Angriff auf eine ungenannte akademische Einrichtung, indem sie eine entdeckte Log4j-Schwachstelle nutzten. Diese Schwachstelle wurde in einer anfälligen VMware Horizon-Instanz der betroffenen Institution gefunden.
VMware Horizon-Instanz
Die Bedrohungsjäger von CrowdStrike entdeckten den Angriff, nachdem sie verdächtigen Datenverkehr von einem Tomcat-Prozess entdeckt hatten, der unter der betroffenen Instanz ausgeführt wurde. Sie überwachten diesen Datenverkehr und stellten anhand der Telemetrie fest, dass eine modifizierte Version von Log4j verwendet wurde, um in den Server einzudringen. Die chinesischen Hacker führten den Angriff über ein öffentliches GitHub-Projekt aus, das am 13. Dezember veröffentlicht wurde.
Eine weitere Überwachung der Hacking-Aktivitäten ergab, dass die Aquatic Panda-Hacker native Betriebssystem-Binärdateien verwendeten, um die Berechtigungsstufen und andere Details der Systeme und der Domänenumgebung zu verstehen. Die Spezialisten von CrowdStrike stellten außerdem fest, dass die Hacker versuchten, den Betrieb einer aktiven Endpoint Detection and Response (EDR)-Lösung eines Drittanbieters zu blockieren.
Die OverWatch-Spezialisten überwachten daraufhin die Aktivitäten der Hacker weiter und konnten die betreffende Institution über den Fortschritt des Hacks auf dem Laufenden halten. Die akademische Einrichtung könnte hierauf selbst reagieren und die erforderlichen Kontrollmaßnahmen ergreifen und die anfällige Anwendung patchen.
Wasserpanda-Hacker
Seit Mai 2020 ist die chinesische Hackergruppe Aquatic Panda aktiv. Die Hacker konzentrieren sich ausschließlich auf das Sammeln von Informationen und Industriespionage. Anfänglich konzentrierte sich die Gruppe hauptsächlich auf Unternehmen aus dem Telekommunikationssektor, dem Technologiesektor und Regierungen.
Die Hacker verwenden hauptsächlich die sogenannten Cobalt-Strike-Tool-Sets, darunter den einzigartigen Cobalt-Strike-Downloader Fishmaster. Die chinesischen Hacker verwenden auch Techniken wie njRAt-Payloads, um Ziele zu treffen.
Überwachung von Log4j wichtig
Als Reaktion auf diesen Vorfall erklärte CrowdStrike, dass die Log4j-Schwachstelle ein ernsthaft gefährlicher Exploit ist und dass Unternehmen und Institutionen gut daran tun würden, ihre Systeme auf diese Schwachstelle zu überprüfen und auch zu patchen.