Aquatic Panda, kineski hakerski kolektiv, izravno je iskoristio ranjivost Log4j za napad na neotkrivenu akademsku instituciju. Napad su otkrili i suprotstavili se stručnjaci za lov na prijetnje CrowdStrikea Overwatch.
Prema CrowdStrikeu, kineski (državni) hakeri pokrenuli su napad na neimenovanu akademsku instituciju koristeći otkrivenu ranjivost Log4j. Ova ranjivost pronađena je u ranjivoj instanci VMware Horizon zahvaćene institucije.
VMware Horizon instanca
CrowdStrike lovci na prijetnje otkrili su napad nakon što su uočili sumnjivi promet iz Tomcat procesa koji se izvodi pod zahvaćenom instancom. Nadzirali su ovaj promet i telemetrijom utvrdili da se modificirana verzija Log4j koristi za prodor na poslužitelj. Kineski hakeri izveli su napad koristeći javni GitHub projekt objavljen 13. prosinca.
Daljnje praćenje aktivnosti hakiranja otkrilo je da su hakeri Aquatic Panda koristili izvorne binarne datoteke OS-a kako bi razumjeli razine privilegija i druge detalje sustava i okoline domene. Stručnjaci CrowdStrike također su otkrili da su hakeri pokušavali blokirati rad aktivnog rješenja za otkrivanje i odgovor krajnjih točaka treće strane (EDR).
Stručnjaci OverWatcha zatim su nastavili pratiti aktivnosti hakera i uspjeli su informirati dotičnu instituciju o napretku hakiranja. Akademska institucija mogla bi sama postupiti po tome i poduzeti potrebne mjere kontrole i zakrpiti ranjivu aplikaciju.
Aquatic Panda Hackers
Kineska hakerska grupa Aquatic Panda aktivna je od svibnja 2020. Hakeri se fokusiraju isključivo na prikupljanje obavještajnih podataka i industrijsku špijunažu. U početku se grupa uglavnom fokusirala na tvrtke u sektoru telekomunikacija, tehnološkom sektoru i vladama.
Hakeri uglavnom koriste takozvane skupove alata Cobalt Strike, uključujući jedinstveni program za preuzimanje Cobalt Strike Fishmaster. Kineski hakeri također koriste tehnike poput njRAt tereta za pogađanje ciljeva.
Važan nadzor Log4j
Kao odgovor na ovaj incident, CrowdStrike je izjavio da je ranjivost Log4j ozbiljno opasno iskorištavanje i da bi tvrtke i institucije dobro provjeravale i zakrpe svoje sustave za tu ranjivost.