Aquatic Panda, un colectivo de hackers chinés, utilizou directamente a vulnerabilidade Log4j para atacar unha institución académica non revelada. O ataque foi descuberto e contrarrestado polos especialistas en caza de ameazas de Overwatch de CrowdStrike.
Segundo CrowdStrike, os piratas informáticos chineses (estatais) lanzaron un ataque contra unha institución académica sen nome utilizando unha vulnerabilidade Log4j descuberta. Esta vulnerabilidade atopouse nunha instancia vulnerable de VMware Horizon da institución afectada.
Instancia de VMware Horizon
Os cazadores de ameazas de CrowdStrike descubriron o ataque despois de detectar tráfico sospeitoso dun proceso Tomcat que se executaba baixo a instancia afectada. Vixiaron este tráfico e determinaron a partir da telemetría que se estaba a usar unha versión modificada de Log4j para penetrar no servidor. Os hackers chineses levaron a cabo o ataque utilizando un proxecto público de GitHub publicado o 13 de decembro.
Un seguimento adicional da actividade de hackeo revelou que os piratas informáticos de Aquatic Panda estaban a usar binarios nativos do sistema operativo para comprender os niveis de privilexios e outros detalles dos sistemas e do contorno do dominio. Os especialistas de CrowdStrike tamén descubriron que os piratas informáticos estaban tentando bloquear as operacións dunha solución activa de detección e resposta de extremos de terceiros (EDR).
Despois, os especialistas de OverWatch continuaron supervisando as actividades dos piratas informáticos e puideron manter informada á institución en cuestión do progreso do hackeo. A institución académica podería actuar por si mesma e tomar as medidas de control necesarias e parchear a aplicación vulnerable.
Hackers de panda acuático
O grupo de hackers chinés Aquatic Panda leva activo desde maio de 2020. Os hackers céntranse exclusivamente na recollida de información e na espionaxe industrial. Inicialmente, o grupo concentrouse principalmente en empresas do sector das telecomunicacións, do sector tecnolóxico e das administracións públicas.
Os piratas informáticos usan principalmente os chamados conxuntos de ferramentas Cobalt Strike, incluíndo o único descargador de Cobalt Strike Fishmaster. Os hackers chineses tamén usan técnicas como as cargas útiles njRAt para acadar obxectivos.
Monitorización Log4j importante
En resposta a este incidente, CrowdStrike afirmou que a vulnerabilidade Log4j é unha explotación moi perigosa e que as empresas e institucións farían ben en revisar e tamén parchear os seus sistemas para esta vulnerabilidade.