Aquatic Panda, un collectif de piratage chinois, a directement utilisé la vulnérabilité Log4j pour attaquer une institution universitaire non divulguée. L'attaque a été découverte et contrée par les spécialistes de la chasse aux menaces Overwatch de CrowdStrike.
Selon CrowdStrike, les pirates chinois (d'État) ont lancé une attaque contre une institution universitaire sans nom en utilisant une vulnérabilité Log4j découverte. Cette vulnérabilité a été découverte dans une instance VMware Horizon vulnérable de l'institution concernée.
Instance de VMware Horizon
Les chasseurs de menaces de CrowdStrike ont découvert l'attaque après avoir repéré le trafic suspect d'un processus Tomcat exécuté sous l'instance affectée. Ils ont surveillé ce trafic et déterminé à partir de la télémétrie qu'une version modifiée de Log4j était utilisée pour pénétrer le serveur. Les pirates chinois ont mené l'attaque en utilisant un projet public GitHub publié le 13 décembre.
Une surveillance plus poussée de l'activité de piratage a révélé que les pirates d'Aquatic Panda utilisaient des binaires natifs du système d'exploitation pour comprendre les niveaux de privilèges et d'autres détails des systèmes et de l'environnement du domaine. Les spécialistes de CrowdStrike ont également découvert que les pirates tentaient de bloquer les opérations d'une solution tierce active de détection et de réponse aux terminaux (EDR).
Les spécialistes d'OverWatch ont ensuite continué à surveiller les activités des pirates et ont pu tenir l'institution en question informée de l'évolution du piratage. L'établissement universitaire pourrait agir lui-même et prendre les mesures de contrôle nécessaires et patcher l'application vulnérable.
Pirates des pandas aquatiques
Le groupe de piratage chinois Aquatic Panda est actif depuis mai 2020. Les pirates se concentrent exclusivement sur la collecte de renseignements et l'espionnage industriel. Initialement, le groupe se concentrait principalement sur les entreprises du secteur des télécommunications, du secteur technologique et des gouvernements.
Les pirates utilisent principalement les ensembles d'outils dits Cobalt Strike, y compris le téléchargeur unique Cobalt Strike Fishmaster. Les pirates chinois utilisent également des techniques telles que les charges utiles njRAt pour atteindre leurs cibles.
Surveillance Log4j importante
En réponse à cet incident, CrowdStrike a déclaré que la vulnérabilité Log4j est un exploit très dangereux et que les entreprises et les institutions feraient bien de vérifier et de corriger leurs systèmes pour cette vulnérabilité.