Aquatic Panda، یک گروه هکر چینی، مستقیماً از آسیبپذیری Log4j برای حمله به یک مؤسسه دانشگاهی ناشناس استفاده کرده است. این حمله توسط متخصصان تهدید کننده اورواچ CrowdStrike کشف و با آن مقابله شد.
طبق گزارش CrowdStrike، هکرهای چینی (ایالتی) با استفاده از یک آسیبپذیری کشفشده Log4j به یک موسسه دانشگاهی ناشناس حمله کردند. این آسیبپذیری در یک نمونه آسیبپذیر VMware Horizon در مؤسسه آسیبدیده پیدا شد.
نمونه VMware Horizon
شکارچیان تهدید CrowdStrike پس از مشاهده ترافیک مشکوک از فرآیند تامکت که تحت نمونه آسیب دیده اجرا می شد، این حمله را کشف کردند. آنها این ترافیک را زیر نظر گرفتند و از تله متری تشخیص دادند که نسخه اصلاح شده Log4j برای نفوذ به سرور استفاده می شود. هکرهای چینی این حمله را با استفاده از پروژه عمومی GitHub که در 13 دسامبر منتشر شد انجام دادند.
نظارت بیشتر بر فعالیت هک نشان داد که هکرهای Aquatic Panda از باینری های بومی سیستم عامل برای درک سطوح امتیاز و سایر جزئیات سیستم ها و محیط دامنه استفاده می کردند. متخصصان CrowdStrike همچنین دریافتند که هکرها در تلاش بودند تا عملیات یک راه حل فعال شناسایی نقطه پایانی شخص ثالث و پاسخ (EDR) را مسدود کنند.
سپس متخصصان OverWatch به نظارت بر فعالیت های هکرها ادامه دادند و توانستند موسسه مورد نظر را در جریان پیشرفت هک قرار دهند. مؤسسه دانشگاهی می تواند خود به این امر اقدام کند و اقدامات کنترلی لازم را انجام دهد و اپلیکیشن آسیب پذیر را اصلاح کند.
هکرهای پانداهای آبی
گروه هکری چینی Aquatic Panda از می 2020 فعال بوده است. تمرکز هکرها منحصراً بر روی جمع آوری اطلاعات و جاسوسی صنعتی است. در ابتدا، گروه عمدتاً بر شرکتهای بخش مخابرات، بخش فناوری و دولتها متمرکز بود.
هکرها عمدتاً از مجموعه ابزارهای به اصطلاح Cobalt Strike از جمله دانلودر منحصر به فرد Cobalt Strike Fishmaster استفاده می کنند. هکرهای چینی همچنین از تکنیک هایی مانند بارهای njRAt برای ضربه زدن به اهداف استفاده می کنند.
نظارت Log4j مهم است
در پاسخ به این حادثه، CrowdStrike اظهار داشت که آسیبپذیری Log4j یک سوءاستفاده جدی خطرناک است و شرکتها و موسسات به خوبی این آسیبپذیری را بررسی کرده و سیستمهای خود را اصلاح کنند.