Az Aquatic Panda, egy kínai hackercsapat közvetlenül a Log4j sebezhetőségét használta fel egy ismeretlen tudományos intézmény megtámadására. A támadást a CrowdStrike Overwatch fenyegetésvadász szakemberei fedezték fel és hárították el.
A CrowdStrike szerint a kínai (állami) hackerek támadást indítottak egy meg nem nevezett akadémiai intézmény ellen egy felfedezett Log4j sebezhetőség segítségével. Ezt a biztonsági rést az érintett intézmény egyik sebezhető VMware Horizon példányában találták meg.
VMware Horizon példány
A CrowdStrike fenyegetésvadászai azután fedezték fel a támadást, hogy gyanús forgalmat észleltek az érintett példány alatt futó Tomcat folyamatból. Figyelték ezt a forgalmat, és a telemetria alapján megállapították, hogy a Log4j módosított verzióját használták a szerverre való behatoláshoz. A kínai hackerek a december 13-án közzétett nyilvános GitHub projekt segítségével hajtották végre a támadást.
A hackertevékenység további nyomon követése feltárta, hogy az Aquatic Panda hackerei natív operációs rendszer binárisokat használnak a jogosultsági szintek és a rendszerek és a tartománykörnyezet egyéb részleteinek megértésére. A CrowdStrike szakemberei azt is megállapították, hogy a hackerek egy aktív, harmadik féltől származó végpont-észlelési és válaszadási (EDR) megoldás működését próbálták blokkolni.
Az OverWatch szakemberei ezután továbbra is figyelemmel kísérték a hackerek tevékenységét, és folyamatosan tájékoztatni tudták a kérdéses intézményt a feltörés előrehaladásáról. A felsőoktatási intézmény maga intézhetné ezt, és megtehetné a szükséges ellenőrzési intézkedéseket és foltozhatná a sérülékeny alkalmazást.
Vízi Panda Hackerek
A kínai Aquatic Panda hackercsoport 2020 májusa óta működik. A hackerek kizárólag a hírszerzésre és az ipari kémkedésre összpontosítanak. Kezdetben a csoport elsősorban a távközlési szektor, a technológiai szektor és a kormányzat vállalataira összpontosított.
A hackerek elsősorban az úgynevezett Cobalt Strike eszközkészleteket használják, köztük az egyedülálló Cobalt Strike letöltőt, a Fishmastert. A kínai hackerek olyan technikákat is alkalmaznak, mint például az njRAt rakomány a célpontok eltalálására.
A Log4j figyelése fontos
Az incidensre reagálva a CrowdStrike kijelentette, hogy a Log4j sebezhetősége súlyosan veszélyes kizsákmányolás, és a vállalatoknak és intézményeknek jól tennék, ha átvizsgálnák és javítanák rendszereiket erre a sérülékenységre.