Hiina häkkimiskollektiivi Aquatic Panda on otseselt kasutanud Log4j haavatavust avalikustamata akadeemilise asutuse ründamiseks. Rünnaku avastasid ja tõrjusid CrowdStrike'i Overwatchi ohujahi spetsialistid.
CrowdStrike’i andmetel algatasid Hiina (osariigi) häkkerid rünnaku nimetu akadeemilise asutuse vastu, kasutades avastatud Log4j haavatavust. See haavatavus leiti mõjutatud asutuse haavatavas VMware Horizon eksemplaris.
VMware Horizon eksemplar
CrowdStrike'i ohukütid avastasid rünnaku pärast seda, kui tuvastasid mõjutatud eksemplari all töötava Tomcati protsessi kahtlase liikluse. Nad jälgisid seda liiklust ja tegid telemeetria põhjal kindlaks, et serverisse tungimiseks kasutati Log4j muudetud versiooni. Hiina häkkerid viisid rünnaku läbi 13. detsembril avaldatud avaliku GitHubi projekti abil.
Häkkimistegevuse edasine jälgimine näitas, et Aquatic Panda häkkerid kasutasid OS-i binaarfaile, et mõista süsteemide ja domeenikeskkonna privileegtasemeid ja muid üksikasju. CrowdStrike'i spetsialistid leidsid ka, et häkkerid üritasid blokeerida aktiivse kolmanda osapoole lõpp-punkti tuvastamise ja reageerimise (EDR) lahendusi.
OverWatchi spetsialistid jätkasid seejärel häkkerite tegevuse jälgimist ja suutsid kõnealust asutust häkkimise edenemisega kursis hoida. Akadeemiline asutus võiks selle nimel ise tegutseda ja võtta vajalikud kontrollimeetmed ning haavatava rakenduse lappida.
Veepanda häkkerid
Hiina häkkimisrühmitus Aquatic Panda on tegutsenud alates 2020. aasta maist. Häkkerid keskenduvad eranditult luureandmete kogumisele ja tööstusspionaažile. Algselt keskendus kontsern peamiselt telekomisektori, tehnoloogiasektori ja valitsuste ettevõtetele.
Häkkerid kasutavad peamiselt nn Cobalt Strike'i tööriistakomplekte, sealhulgas ainulaadset Cobalt Strike'i allalaadijat Fishmaster. Hiina häkkerid kasutavad sihtmärkide tabamiseks ka selliseid tehnikaid nagu njRAt kasulikud koormused.
Log4j jälgimine on oluline
Vastuseks sellele intsidendile teatas CrowdStrike, et Log4j haavatavus on tõsiselt ohtlik ärakasutamine ning ettevõtetel ja asutustel oleks hea oma süsteeme selle haavatavuse jaoks kontrollida ja parandada.