Aquatic Panda, hacking kolektibo txinatarrak, Log4j ahultasuna zuzenean erabili du ezagutarazi gabeko erakunde akademiko bati erasotzeko. Erasoa CrowdStrike-ko Overwatch mehatxuen ehizako espezialistek aurkitu eta aurre egin zuten.
CrowdStrike-ren arabera, Txinako (estatuko) hacker-ek eraso bat egin zuten izenik gabeko erakunde akademiko baten aurka, aurkitutako Log4j ahultasun bat erabiliz. Ahultasun hau kaltetutako erakundearen VMware Horizon instantzia ahulean aurkitu da.
VMware Horizon instantzia
CrowdStrike-ren mehatxu-ehiztariek erasoa aurkitu zuten kaltetutako instantziaren azpian martxan dagoen Tomcat prozesu baten trafiko susmagarria ikusi ostean. Trafiko hori kontrolatu zuten eta telemetriatik zehaztu zuten Log4j-ren bertsio aldatu bat erabiltzen ari zela zerbitzarian sartzeko. Txinako hacker-ek abenduaren 13an argitaratutako GitHub proiektu publiko bat erabiliz egin zuten erasoa.
Hackearen jardueraren jarraipen gehiagok agerian utzi zuen Aquatic Panda hacker-ek jatorrizko OS bitarrak erabiltzen ari zirela sistemen eta domeinu-ingurunearen pribilegio-mailak eta beste xehetasun batzuk ulertzeko. CrowdStrike-ko espezialistek ere aurkitu zuten hackerrak hirugarrenen amaierako puntuak detektatzeko eta erantzuteko (EDR) irtenbide aktibo baten eragiketak blokeatzen saiatzen ari zirela.
Orduan, OverWatch-eko espezialistek hackerren jarduerak kontrolatzen jarraitu zuten eta kasuan kasuko erakundea hackearen bilakaeraren berri izan zuten. Instituzio akademikoak bere horretan jardun lezake eta beharrezko kontrol neurriak har ditzake eta aplikazio zaurgarria adabaki.
Uretako Panda Hackerrak
Aquatic Panda hacking txinatar taldea aktibo dago 2020ko maiatzetik. Hacker-ek adimen-bilketan eta espioitza industrialean oinarritzen dira soilik. Hasiera batean, taldea telekomunikazioen sektoreko, teknologiaren sektoreko eta gobernuetako enpresetan zentratu zen batez ere.
Hackerrek batez ere Cobalt Strike izeneko tresna multzoak erabiltzen dituzte, Cobalt Strike deskargatzaile bakarra Fishmaster barne. Txinako hacker-ek njRAt kargak bezalako teknikak ere erabiltzen dituzte helburuak lortzeko.
Monitorizazioa Log4j garrantzitsua
Gertakari honi erantzunez, CrowdStrike-k adierazi zuen Log4j ahultasuna ustiapen oso arriskutsua dela eta enpresek eta instituzioek ondo egingo luketela ahultasun hori beren sistemak egiaztatzea eta adabakia egitea.