Το Aquatic Panda, μια κινεζική ομάδα hacking, έχει χρησιμοποιήσει απευθείας την ευπάθεια Log4j για να επιτεθεί σε ένα άγνωστο ακαδημαϊκό ίδρυμα. Η επίθεση ανακαλύφθηκε και αντιμετωπίστηκε από τους ειδικούς του Overwatch για το κυνήγι απειλών του CrowdStrike.
Σύμφωνα με το CrowdStrike, οι Κινέζοι (κρατικοί) χάκερ εξαπέλυσαν επίθεση σε ένα ακαδημαϊκό ίδρυμα που δεν κατονομάζεται χρησιμοποιώντας μια ευπάθεια Log4j που ανακαλύφθηκε. Αυτή η ευπάθεια εντοπίστηκε σε μια ευάλωτη παρουσία VMware Horizon του επηρεαζόμενου ιδρύματος.
Παράδειγμα VMware Horizon
Οι κυνηγοί απειλών του CrowdStrike ανακάλυψαν την επίθεση αφού εντόπισαν ύποπτη κίνηση από μια διαδικασία Tomcat που εκτελείται κάτω από το επηρεαζόμενο παράδειγμα. Παρακολούθησαν αυτήν την κίνηση και προσδιόρισαν από την τηλεμετρία ότι μια τροποποιημένη έκδοση του Log4j χρησιμοποιήθηκε για να διεισδύσει στον διακομιστή. Οι Κινέζοι χάκερ πραγματοποίησαν την επίθεση χρησιμοποιώντας ένα δημόσιο έργο GitHub που δημοσιεύτηκε στις 13 Δεκεμβρίου.
Περαιτέρω παρακολούθηση της δραστηριότητας hacking αποκάλυψε ότι οι χάκερ του Aquatic Panda χρησιμοποιούσαν εγγενή δυαδικά αρχεία λειτουργικού συστήματος για να κατανοήσουν τα επίπεδα προνομίων και άλλες λεπτομέρειες των συστημάτων και του περιβάλλοντος τομέα. Οι ειδικοί του CrowdStrike διαπίστωσαν επίσης ότι οι χάκερ προσπαθούσαν να εμποδίσουν τις λειτουργίες μιας ενεργής λύσης ανίχνευσης και απόκρισης τελικού σημείου τρίτου κατασκευαστή (EDR).
Στη συνέχεια, οι ειδικοί του OverWatch συνέχισαν να παρακολουθούν τις δραστηριότητες των χάκερ και μπόρεσαν να κρατούν ενήμερο το εν λόγω ίδρυμα για την πρόοδο του hack. Το ακαδημαϊκό ίδρυμα θα μπορούσε να ενεργήσει το ίδιο και να λάβει τα απαραίτητα μέτρα ελέγχου και να επιδιορθώσει την ευάλωτη εφαρμογή.
Aquatic Panda Hackers
Η κινεζική ομάδα χάκερ Aquatic Panda δραστηριοποιείται από τον Μάιο του 2020. Οι χάκερ επικεντρώνονται αποκλειστικά στη συλλογή πληροφοριών και στη βιομηχανική κατασκοπεία. Αρχικά, ο όμιλος επικεντρώθηκε κυρίως σε εταιρείες του κλάδου των τηλεπικοινωνιών, του κλάδου της τεχνολογίας και των κυβερνήσεων.
Οι χάκερ χρησιμοποιούν κυρίως τα λεγόμενα σετ εργαλείων Cobalt Strike, συμπεριλαμβανομένου του μοναδικού προγράμματος λήψης Cobalt Strike Fishmaster. Οι Κινέζοι χάκερ χρησιμοποιούν επίσης τεχνικές όπως τα ωφέλιμα φορτία njRAt για να χτυπήσουν στόχους.
Σημαντική η παρακολούθηση Log4j
Σε απάντηση σε αυτό το περιστατικό, η CrowdStrike δήλωσε ότι η ευπάθεια Log4j είναι μια σοβαρά επικίνδυνη εκμετάλλευση και ότι οι εταιρείες και τα ιδρύματα θα έκαναν καλά να ελέγξουν και επίσης να επιδιορθώσουν τα συστήματά τους για αυτήν την ευπάθεια.