中国のハッキング集団であるAquaticPandaは、Log4jの脆弱性を直接利用して、非公開の学術機関を攻撃しました。 この攻撃は、クラウドストライクのオーバーウォッチ脅威ハンティングスペシャリストによって発見され、対抗されました。
CrowdStrikeによると、中国(州)のハッカーは、発見されたLog4jの脆弱性を使用して、名前のない学術機関に攻撃を仕掛けました。 この脆弱性は、影響を受ける機関の脆弱なVMwareHorizonインスタンスで見つかりました。
VMwareHorizonインスタンス
クラウドストライクの脅威ハンターは、影響を受けたインスタンスの下で実行されているTomcatプロセスからの疑わしいトラフィックを発見した後、攻撃を発見しました。 彼らはこのトラフィックを監視し、テレメトリから、Log4jの修正バージョンがサーバーへの侵入に使用されていることを確認しました。 中国のハッカーは、13月XNUMX日に公開された公開GitHubプロジェクトを使用して攻撃を実行しました。
ハッキング活動をさらに監視すると、Aquatic PandaハッカーがネイティブOSバイナリを使用して、システムとドメイン環境の特権レベルやその他の詳細を理解していることが明らかになりました。 CrowdStrikeのスペシャリストは、ハッカーがアクティブなサードパーティのエンドポイント検出および応答(EDR)ソリューションの操作をブロックしようとしていることも発見しました。
その後、OverWatchのスペシャリストはハッカーの活動を監視し続け、問題の機関にハッキングの進行状況を知らせ続けることができました。 学術機関はこれに基づいて行動し、必要な管理措置を講じて、脆弱なアプリケーションにパッチを適用することができます。
水生パンダハッカー
中国のハッキンググループAquaticPandaは、2020年XNUMX月から活動しています。ハッカーは、情報収集と産業スパイに専念しています。 当初、このグループは主に通信セクター、テクノロジーセクター、政府の企業に焦点を当てていました。
ハッカーは主に、ユニークなCobaltStrikeダウンローダーFishmasterを含むいわゆるCobaltStrikeツールセットを使用します。 中国のハッカーは、njRAtペイロードなどの手法を使用してターゲットを攻撃します。
Log4jの監視が重要
この事件に対応して、CrowdStrikeは、Log4jの脆弱性は非常に危険なエクスプロイトであり、企業や機関はこの脆弱性についてシステムを精査し、パッチを適用することをお勧めします。