Aquatic Panda-ը՝ չինական հաքերային կոլեկտիվը, ուղղակիորեն օգտագործել է Log4j խոցելիությունը՝ հարձակվելու չբացահայտված ակադեմիական հաստատության վրա: Հարձակումը հայտնաբերել և հակազդել են CrowdStrike's Overwatch-ի սպառնալիքների որսի մասնագետները:
Ըստ CrowdStrike-ի՝ չինացի (պետական) հաքերները հարձակում են գործել անանուն ակադեմիական հաստատության վրա՝ օգտագործելով հայտնաբերված Log4j խոցելիությունը: Այս խոցելիությունը հայտնաբերվել է տուժած հաստատության խոցելի VMware Horizon օրինակում:
VMware Horizon օրինակ
CrowdStrike-ի սպառնալիքների որսորդները հայտնաբերել են հարձակումը տուժած օրինակի տակ աշխատող Tomcat գործընթացից կասկածելի երթևեկությունից հետո: Նրանք վերահսկում էին այս տրաֆիկը և հեռաչափությունից որոշեցին, որ Log4j-ի փոփոխված տարբերակը օգտագործվում է սերվեր ներթափանցելու համար: Չինացի հաքերները հարձակումն իրականացրել են դեկտեմբերի 13-ին հրապարակված հանրային GitHub նախագծի միջոցով։
Հաքերային գործունեության հետագա մոնիտորինգը ցույց է տվել, որ Aquatic Panda հաքերները օգտագործում էին բնիկ ՕՀ երկուականներ՝ հասկանալու արտոնությունների մակարդակները և համակարգերի և տիրույթի միջավայրի այլ մանրամասներ: CrowdStrike-ի մասնագետները նաև պարզել են, որ հաքերները փորձում էին արգելափակել երրորդ կողմի վերջնական կետի հայտնաբերման և արձագանքման (EDR) ակտիվ լուծման գործողությունները:
Այնուհետև OverWatch-ի մասնագետները շարունակել են վերահսկել հաքերների գործունեությունը և կարողացել են խնդրո առարկա հաստատությանը տեղեկացնել հաքերների առաջընթացի մասին: Ակադեմիական հաստատությունը կարող էր ինքնուրույն գործել և ձեռնարկել անհրաժեշտ վերահսկողական միջոցներ և կարկատել խոցելի հայտը։
Ջրային պանդա հաքերներ
Չինական «Aquatic Panda» հաքերային խումբը գործում է 2020 թվականի մայիսից: Հաքերները կենտրոնացած են բացառապես հետախուզության հավաքագրման և արդյունաբերական լրտեսության վրա: Սկզբում խումբը հիմնականում կենտրոնացած էր հեռահաղորդակցության ոլորտի ընկերությունների, տեխնոլոգիական ոլորտի և կառավարությունների վրա:
Հաքերները հիմնականում օգտագործում են այսպես կոչված Cobalt Strike գործիքների հավաքածուները, ներառյալ եզակի Cobalt Strike ներբեռնիչը Fishmaster-ը։ Չինացի հաքերները նաև օգտագործում են այնպիսի տեխնիկա, ինչպիսին է njRAt ծանրաբեռնվածությունը թիրախներին հարվածելու համար:
Log4j-ի մոնիտորինգը կարևոր է
Ի պատասխան այս միջադեպի՝ CrowdStrike-ը հայտարարեց, որ Log4j-ի խոցելիությունը լրջորեն վտանգավոր շահագործում է, և որ ընկերությունները և հաստատությունները լավ կանեն ստուգեն և նաև կարկատեն իրենց համակարգերը այս խոցելիության համար: