Aquatic Panda, kínversk tölvuþrjótasamtök, hefur beinlínis notað Log4j varnarleysið til að ráðast á ótilgreinda akademíska stofnun. Árásin var uppgötvað og brugðist við af Overwatch hótaveiðarsérfræðingum CrowdStrike.
Samkvæmt CrowdStrike hófu kínversku (ríkis) tölvuþrjótarnir árás á ónefnda akademíska stofnun með því að nota Log4j varnarleysi sem uppgötvaðist. Þessi varnarleysi fannst í viðkvæmu VMware Horizon tilviki viðkomandi stofnunar.
VMware Horizon dæmi
Hótunarveiðimenn CrowdStrike uppgötvuðu árásina eftir að hafa komið auga á grunsamlega umferð frá Tomcat ferli í gangi undir viðkomandi tilviki. Þeir fylgdust með þessari umferð og ákváðu út frá fjarmælingunni að breytt útgáfa af Log4j væri notuð til að komast inn á netþjóninn. Kínversku tölvuþrjótarnir gerðu árásina með því að nota opinbert GitHub verkefni sem birt var 13. desember.
Frekari eftirlit með tölvuþrjótunum leiddi í ljós að Aquatic Panda tölvuþrjótarnir notuðu innfædda stýrikerfis tvístirni til að skilja forréttindastig og aðrar upplýsingar um kerfin og lénaumhverfið. Sérfræðingar CrowdStrike komust einnig að því að tölvuþrjótarnir voru að reyna að loka á virkni virka þriðja aðila uppgötvun og svar (EDR) lausn.
Sérfræðingar OverWatch héldu síðan áfram að fylgjast með starfsemi tölvuþrjótanna og gátu haldið viðkomandi stofnun upplýstum um framgang innbrotsins. Fræðastofnunin gæti gripið til þess sjálf og gripið til nauðsynlegra eftirlitsaðgerða og lagfært viðkvæma umsóknina.
Aquatic Panda tölvuþrjótar
Kínverski tölvuþrjótahópurinn Aquatic Panda hefur verið starfandi síðan í maí 2020. Tölvuþrjótarnir einblína eingöngu á upplýsingaöflun og iðnaðarnjósnir. Upphaflega einbeitti hópurinn sér aðallega að fyrirtækjum í fjarskiptageiranum, tæknigeiranum og stjórnvöldum.
Tölvuþrjótarnir nota aðallega svokölluð Cobalt Strike verkfærasett, þar á meðal hinn einstaka Cobalt Strike niðurhalar Fishmaster. Kínversku tölvuþrjótarnir nota einnig aðferðir eins og njRAt farms til að ná skotmörkum.
Vöktun Log4j mikilvægt
Til að bregðast við þessu atviki sagði CrowdStrike að Log4j varnarleysið væri alvarlega hættulegt misnotkun og að fyrirtæki og stofnanir myndu gera vel við að rannsaka og einnig plástra kerfi þeirra fyrir þessum varnarleysi.