Aquatic Panda, kiinalainen hakkerointikollektiivi, on käyttänyt suoraan Log4j-haavoittuvuutta hyökätäkseen julkistamatonta akateemista instituutiota vastaan. CrowdStriken Overwatchin uhkametsästysasiantuntijat havaitsivat ja torjuivat hyökkäyksen.
CrowdStriken mukaan kiinalaiset (osavaltion) hakkerit käynnistivät hyökkäyksen nimeämätöntä korkeakoulua vastaan käyttämällä löydettyä Log4j-haavoittuvuutta. Tämä haavoittuvuus löydettiin haavoittuvan laitoksen haavoittuvasta VMware Horizon -esiintymästä.
VMware Horizon -esiintymä
CrowdStriken uhkien metsästäjät havaitsivat hyökkäyksen havaittuaan epäilyttävää liikennettä Tomcat-prosessista, joka oli käynnissä haavoittuneen ilmentymän alla. He seurasivat tätä liikennettä ja päättelivät telemetriasta, että Log4j:n muokattua versiota käytettiin tunkeutumaan palvelimeen. Kiinalaiset hakkerit toteuttivat hyökkäyksen käyttämällä julkista GitHub-projektia, joka julkaistiin 13. joulukuuta.
Hakkerointitoiminnan lisäseuranta paljasti, että Aquatic Panda -hakkerit käyttivät käyttöjärjestelmän alkuperäisiä binaaritiedostoja ymmärtääkseen käyttöoikeustasoja ja muita järjestelmien ja toimialueympäristön yksityiskohtia. CrowdStriken asiantuntijat havaitsivat myös, että hakkerit yrittivät estää aktiivisen kolmannen osapuolen päätepisteiden tunnistus- ja vastausratkaisun (EDR) toiminnan.
OverWatchin asiantuntijat jatkoivat sitten hakkereiden toiminnan seurantaa ja pystyivät pitämään kyseisen laitoksen ajan tasalla hakkeroinnin edistymisestä. Akateeminen laitos voisi toimia tämän asian suhteen itse ja ryhtyä tarvittaviin valvontatoimiin ja korjata haavoittuvan sovelluksen.
Aquatic Panda Hakkerit
Kiinalainen hakkerointiryhmä Aquatic Panda on toiminut aktiivisesti toukokuusta 2020 lähtien. Hakkerit keskittyvät yksinomaan tiedustelutietojen keräämiseen ja teollisuusvakoiluun. Aluksi konserni keskittyi pääasiassa telealan, teknologia-alan ja valtioiden yrityksiin.
Hakkerit käyttävät pääasiassa niin sanottuja Cobalt Strike -työkalusarjoja, mukaan lukien ainutlaatuinen Cobalt Strike -latausohjelma Fishmaster. Kiinalaiset hakkerit käyttävät myös tekniikoita, kuten njRAt-hyötykuormia, osuakseen kohteisiin.
Log4j:n seuranta on tärkeää
Vastauksena tähän tapaukseen CrowdStrike totesi, että Log4j-haavoittuvuus on vakavasti vaarallinen hyväksikäyttö ja että yritysten ja laitosten olisi hyvä testata ja myös korjata järjestelmänsä tämän haavoittuvuuden varalta.