Aquatic Panda, sebuah kolektif peretasan Tiongkok, telah secara langsung menggunakan kerentanan Log4j untuk menyerang sebuah institusi akademik yang dirahasiakan. Serangan itu ditemukan dan dilawan oleh spesialis berburu ancaman Overwatch dari CrowdStrike.
Menurut CrowdStrike, peretas China (negara bagian) melancarkan serangan terhadap institusi akademik yang tidak disebutkan namanya menggunakan kerentanan Log4j yang ditemukan. Kerentanan ini ditemukan dalam instance VMware Horizon yang rentan dari institusi yang terpengaruh.
Contoh VMware Horizon
Pemburu ancaman CrowdStrike menemukan serangan itu setelah melihat lalu lintas yang mencurigakan dari proses Tomcat yang berjalan di bawah instance yang terpengaruh. Mereka memantau lalu lintas ini dan menentukan dari telemetri bahwa versi modifikasi dari Log4j sedang digunakan untuk menembus server. Peretas China melakukan serangan menggunakan proyek GitHub publik yang diterbitkan pada 13 Desember.
Pemantauan lebih lanjut dari aktivitas peretasan mengungkapkan bahwa peretas Aquatic Panda menggunakan binari OS asli untuk memahami tingkat hak istimewa dan detail lain dari sistem dan lingkungan domain. Pakar CrowdStrike juga menemukan bahwa peretas berusaha memblokir operasi solusi deteksi dan respons titik akhir (EDR) pihak ketiga yang aktif.
Spesialis OverWatch kemudian terus memantau aktivitas peretas dan mampu memberi tahu institusi yang bersangkutan tentang kemajuan peretasan. Institusi akademik dapat bertindak atas hal ini sendiri dan mengambil tindakan pengendalian yang diperlukan dan menambal aplikasi yang rentan.
Peretas Panda Air
Grup peretasan China Aquatic Panda telah aktif sejak Mei 2020. Para peretas fokus secara eksklusif pada pengumpulan intelijen dan spionase industri. Awalnya, grup ini terutama berfokus pada perusahaan di sektor telekomunikasi, sektor teknologi, dan pemerintah.
Peretas terutama menggunakan apa yang disebut set alat Cobalt Strike, termasuk pengunduh Cobalt Strike Fishmaster yang unik. Peretas China juga menggunakan teknik seperti muatan njRAt untuk mencapai target.
Memantau Log4j penting
Menanggapi insiden ini, CrowdStrike menyatakan bahwa kerentanan Log4j adalah eksploitasi yang sangat berbahaya dan bahwa perusahaan dan institusi sebaiknya memeriksa dan juga menambal sistem mereka untuk kerentanan ini.