Aquatic Panda, un collettivo di hacker cinese, ha utilizzato direttamente la vulnerabilità di Log4j per attaccare un'istituzione accademica sconosciuta. L'attacco è stato scoperto e contrastato dagli specialisti della caccia alle minacce di Overwatch di CrowdStrike.
Secondo CrowdStrike, gli hacker cinesi (di stato) hanno lanciato un attacco a un'istituzione accademica senza nome utilizzando una vulnerabilità di Log4j scoperta. Questa vulnerabilità è stata rilevata in un'istanza VMware Horizon vulnerabile dell'istituto interessato.
Istanza VMware Horizon
I cacciatori di minacce di CrowdStrike hanno scoperto l'attacco dopo aver individuato traffico sospetto proveniente da un processo Tomcat in esecuzione nell'istanza interessata. Hanno monitorato questo traffico e determinato dalla telemetria che una versione modificata di Log4j veniva utilizzata per penetrare nel server. Gli hacker cinesi hanno effettuato l'attacco utilizzando un progetto pubblico GitHub pubblicato il 13 dicembre.
Un ulteriore monitoraggio dell'attività di hacking ha rivelato che gli hacker di Aquatic Panda stavano utilizzando binari del sistema operativo nativo per comprendere i livelli di privilegio e altri dettagli dei sistemi e dell'ambiente del dominio. Gli specialisti di CrowdStrike hanno anche scoperto che gli hacker stavano tentando di bloccare le operazioni di una soluzione EDR (endpoint detection and response) attiva di terze parti.
Gli specialisti di OverWatch hanno quindi continuato a monitorare le attività degli hacker e sono stati in grado di tenere informata l'istituzione in questione sull'andamento dell'hacking. L'istituzione accademica potrebbe agire su questo stesso e adottare le misure di controllo necessarie e correggere l'applicazione vulnerabile.
Hacker di panda acquatici
Il gruppo di hacker cinese Aquatic Panda è attivo da maggio 2020. Gli hacker si concentrano esclusivamente sulla raccolta di informazioni e sullo spionaggio industriale. Inizialmente, il gruppo si è concentrato principalmente su aziende del settore delle telecomunicazioni, del settore tecnologico e dei governi.
Gli hacker utilizzano principalmente i cosiddetti set di strumenti Cobalt Strike, incluso l'esclusivo downloader Cobalt Strike Fishmaster. Gli hacker cinesi utilizzano anche tecniche come i payload njRAt per colpire i bersagli.
Monitoraggio Log4j importante
In risposta a questo incidente, CrowdStrike ha affermato che la vulnerabilità di Log4j è un exploit seriamente pericoloso e che le aziende e le istituzioni farebbero bene a controllare e anche correggere i propri sistemi per questa vulnerabilità.