Chinesische Aquatic-Panda-Hacker missbrauchen Log4j . direkt

Aquatischer Panda, ein chinesisches Hacker-Kollektiv, hat die Log4j-Schwachstelle direkt genutzt, um eine unbekannte akademische Institution anzugreifen. Der Angriff wurde von den Overwatch-Spezialisten für Bedrohungsjagden von CrowdStrike entdeckt und abgewehrt.

Laut CrowdStrike, die Chinesen (Zustand) Hacker starteten einen Angriff auf eine unbekannte akademische Einrichtung mit einer entdeckten Log4j-Sicherheitslücke. Diese Schwachstelle wurde in einer anfälligen VMware Horizon-Instanz der betroffenen Institution gefunden.

VMware Horizon-Instanz

Die Bedrohungsjäger von CrowdStrike entdeckten den Angriff, nachdem sie verdächtigen Datenverkehr von einem Tomcat-Prozess entdeckt hatten, der unter der betroffenen Instanz ausgeführt wurde.. Sie überwachten diesen Datenverkehr und stellten anhand der Telemetrie fest, dass eine modifizierte Version von Log4j verwendet wurde, um in den Server einzudringen. Die chinesischen Hacker führten den Angriff mit einem im Dezember veröffentlichten öffentlichen GitHub-Projekt durch 13.

Eine weitere Überwachung der Hacking-Aktivitäten ergab, dass die Aquatic Panda-Hacker native Betriebssystem-Binärdateien verwendeten, um die Berechtigungsstufen und andere Details der Systeme und der Domänenumgebung zu verstehen. Die Spezialisten von CrowdStrike fanden außerdem heraus, dass die Hacker versuchten, den Betrieb einer aktiven Endpunkterkennung und -reaktion eines Drittanbieters zu blockieren (EDR) Lösung.

Die OverWatch-Spezialisten überwachten die Hacker dann weiter’ Aktivitäten und konnten die betreffende Institution über den Fortschritt des Hacks auf dem Laufenden halten. Die akademische Einrichtung könnte selbst darauf reagieren und die notwendigen Kontrollmaßnahmen ergreifen und die anfällige Anwendung patchen.

Aquatische Panda-Hacker

Die chinesische Hackergruppe Aquatic Panda ist seit Mai aktiv 2020. Die Hacker konzentrieren sich ausschließlich auf das Sammeln von Informationen und Industriespionage. Anfänglich, Die Gruppe konzentrierte sich hauptsächlich auf Unternehmen aus dem Telekommunikationssektor, der Technologiesektor und Regierungen.

Die Hacker verwenden hauptsächlich die sogenannten Cobalt Strike Toolsets, einschließlich des einzigartigen Cobalt Strike Downloaders Fishmaster. Die chinesischen Hacker verwenden auch Techniken wie njRAt-Nutzlasten, um Ziele zu treffen.

Überwachung von Log4j wichtig

Als Reaktion auf diesen Vorfall, CrowdStrike erklärte, dass die Log4j-Schwachstelle ein ernsthaft gefährlicher Exploit ist und dass Unternehmen und Institutionen gut daran tun würden, ihre Systeme auf diese Schwachstelle zu überprüfen und auch zu patchen.