Aquatic Panda, קולקטיב פריצה סיני, השתמש ישירות בפגיעות Log4j כדי לתקוף מוסד אקדמי לא ידוע. המתקפה התגלתה ונגדה על ידי מומחי ציד האיומים של CrowdStrike של Overwatch.
לפי CrowdStrike, ההאקרים הסינים (ממלכתיים) פתחו במתקפה על מוסד אקדמי ללא שם תוך שימוש בפגיעות שהתגלתה ב-Log4j. פגיעות זו נמצאה במופע פגיע של VMware Horizon של המוסד המושפע.
מופע של VMware Horizon
ציידי האיומים של CrowdStrike גילו את המתקפה לאחר שהבחינו בתנועה חשודה מתהליך Tomcat שרץ תחת המקרה המושפע. הם ניטרו על התעבורה הזו וקבעו על פי הטלמטריה כי נעשה שימוש בגרסה שונה של Log4j כדי לחדור לשרת. ההאקרים הסינים ביצעו את המתקפה באמצעות פרויקט GitHub ציבורי שפורסם ב-13 בדצמבר.
מעקב נוסף אחר פעילות הפריצה גילה שההאקרים של Aquatic Panda השתמשו בקבצים בינאריים מקוריים של מערכת ההפעלה כדי להבין את רמות ההרשאות ופרטים אחרים של המערכות וסביבת התחום. המומחים של CrowdStrike גם גילו שההאקרים ניסו לחסום את הפעולות של פתרון זיהוי ותגובה של נקודות קצה פעיל של צד שלישי (EDR).
מומחי OverWatch המשיכו לאחר מכן לעקוב אחר פעילות ההאקרים והצליחו לעדכן את המוסד המדובר על התקדמות הפריצה. המוסד האקדמי יוכל לפעול בעניין זה בעצמו ולנקוט באמצעי הבקרה הנדרשים ולתלות את האפליקציה הפגיעה.
האקרים של פנדה מים
קבוצת ההאקינג הסינית Aquatic Panda פעילה מאז מאי 2020. ההאקרים מתמקדים אך ורק באיסוף מודיעין וריגול תעשייתי. בתחילה התמקדה הקבוצה בעיקר בחברות מתחום הטלקום, מגזר הטכנולוגיה וממשלות.
ההאקרים משתמשים בעיקר במה שנקרא ערכות הכלים Cobalt Strike, כולל ה-Fishmaster ההורדה הייחודי של Cobalt Strike. ההאקרים הסינים משתמשים גם בטכניקות כמו מטענים njRAt כדי לפגוע במטרות.
ניטור Log4j חשוב
בתגובה לאירוע זה, CrowdStrike הצהיר כי הפגיעות של Log4j היא ניצול מסוכן ביותר וכי טוב יעשו חברות ומוסדות אם יבדקו וגם יתקנו את המערכות שלהם לפגיעות זו.