Hackers chinos de pandas acuáticos abusan directamente de Log4j

Panda Acuático, un colectivo de piratería chino, ha utilizado directamente la vulnerabilidad Log4j para atacar una institución académica no revelada. El ataque fue descubierto y contrarrestado por los especialistas en caza de amenazas de Overwatch de CrowdStrike..

Según CrowdStrike, el chino (Expresar) Los piratas informáticos lanzaron un ataque contra una institución académica no identificada utilizando una vulnerabilidad Log4j descubierta.. Esta vulnerabilidad se encontró en una instancia vulnerable de VMware Horizon de la institución afectada.

Instancia de VMware Horizon

Los cazadores de amenazas de CrowdStrike descubrieron el ataque después de detectar tráfico sospechoso de un proceso Tomcat que se ejecuta en la instancia afectada.. Supervisaron este tráfico y determinaron a partir de la telemetría que se estaba utilizando una versión modificada de Log4j para penetrar en el servidor.. Los hackers chinos llevaron a cabo el ataque utilizando un proyecto público de GitHub publicado en diciembre. 13.

Un mayor seguimiento de la actividad de piratería reveló que los piratas informáticos de Aquatic Panda estaban utilizando binarios nativos del sistema operativo para comprender los niveles de privilegios y otros detalles de los sistemas y el entorno del dominio.. Los especialistas de CrowdStrike también descubrieron que los piratas informáticos intentaban bloquear las operaciones de detección y respuesta de un punto final de terceros activo. (EDR) solución.

Los especialistas de OverWatch luego continuaron monitoreando a los piratas informáticos’ actividades y pudieron mantener informada a la institución en cuestión sobre el progreso del hack. La institución académica podría actuar sobre esto por sí misma y tomar las medidas de control necesarias y parchear la aplicación vulnerable..

Piratas del Panda Acuático

El grupo de piratería chino Aquatic Panda ha estado activo desde mayo 2020. Los hackers se centran exclusivamente en la recopilación de inteligencia y el espionaje industrial.. Inicialmente, el grupo se centró principalmente en empresas del sector de las telecomunicaciones, el sector tecnológico y los gobiernos.

Los piratas informáticos utilizan principalmente los denominados conjuntos de herramientas Cobalt Strike, incluido el exclusivo descargador de Cobalt Strike Fishmaster. Los piratas informáticos chinos también utilizan técnicas como las cargas útiles njRAt para alcanzar objetivos..

Monitoreo Log4j importante

En respuesta a este incidente, CrowdStrike declaró que la vulnerabilidad Log4j es un exploit muy peligroso y que las empresas e instituciones harían bien en examinar y también parchear sus sistemas para esta vulnerabilidad..