Aquatic Panda, in Sineesk hacking-kollektyf, hat de Log4j-kwetsberens direkt brûkt om in ûnbekende akademyske ynstelling oan te fallen. De oanfal waard ûntdutsen en tsjinwurke troch CrowdStrike's Overwatch-spesjalisten foar bedriging.
Neffens CrowdStrike, de Sineeske (steat) hackers lansearre in oanfal op in net neamd akademyske ynstelling mei help fan in ûntdutsen Log4j kwetsberens. Dizze kwetsberens waard fûn yn in kwetsbere VMware Horizon-eksimplaar fan 'e troffen ynstelling.
VMware Horizon eksimplaar
CrowdStrike's bedrigingsjagers ûntdutsen de oanfal nei't se fertocht ferkear opspoard hawwe fan in Tomcat-proses dat rint ûnder de troffen eksimplaar. Se kontroleare dit ferkear en bepale út 'e telemetry dat in feroare ferzje fan Log4j waard brûkt om de tsjinner te penetrearjen. De Sineeske hackers hawwe de oanfal útfierd mei in iepenbier GitHub-projekt publisearre op 13 desimber.
Fierdere tafersjoch fan 'e hackingaktiviteit die bliken dat de Aquatic Panda-hackers native OS-binaries brûkten om de privileezjenivo's en oare details fan' e systemen en domeinomjouwing te begripen. CrowdStrike's spesjalisten fûnen ek dat de hackers besochten de operaasjes te blokkearjen fan in aktive oplossing foar einpuntdeteksje en antwurd fan tredden (EDR).
De spesjalisten fan OverWatch gongen doe troch mei it kontrolearjen fan de aktiviteiten fan de hackers en koene de oanbelangjende ynstelling op 'e hichte hâlde fan 'e foarútgong fan 'e hack. De akademyske ynstelling soe dêr sels op hannelje kinne en de nedige kontrôlemaatregels nimme en de kwetsbere oanfraach patchje.
Aquatic Panda Hackers
De Sineeske hackergroep Aquatic Panda is aktyf sûnt maaie 2020. De hackers rjochtsje har allinich op yntelliginsje sammeljen en yndustriële spionaazje. Yn it earstoan rjochte de groep him benammen op bedriuwen yn 'e telekomsektor, de technologysektor en oerheden.
De hackers brûke benammen de saneamde Cobalt Strike-arksets, wêrûnder de unike Cobalt Strike-downloader Fishmaster. De Sineeske hackers brûke ek techniken lykas njRAt-ladings om doelen te reitsjen.
Monitoring Log4j wichtich
As reaksje op dit ynsidint stelde CrowdStrike dat de kwetsberens fan Log4j in serieus gefaarlike eksploitaasje is en dat bedriuwen en ynstellingen it goed soene dwaan om har systemen te fetsjen en ek te patchjen foar dizze kwetsberens.