Aquatic Panda, ჩინური ჰაკერების კოლექტივი, პირდაპირ გამოიყენა Log4j დაუცველობა გაურკვეველ აკადემიურ ინსტიტუტზე თავდასხმისთვის. თავდასხმა აღმოაჩინეს და დაუპირისპირდნენ CrowdStrike's Overwatch-ის მუქარის ნადირობის სპეციალისტებმა.
CrowdStrike-ის თანახმად, ჩინელმა (სახელმწიფო) ჰაკერებმა დაიწყეს თავდასხმა უსახელო აკადემიურ დაწესებულებაზე აღმოჩენილი Log4j დაუცველობის გამოყენებით. ეს დაუცველობა ნაპოვნი იქნა დაზარალებული ინსტიტუტის დაუცველ VMware Horizon მაგალითში.
VMware Horizon-ის მაგალითი
CrowdStrike-ის მუქარის მონადირეებმა აღმოაჩინეს თავდასხმა მას შემდეგ, რაც დაინახეს საეჭვო მოძრაობა Tomcat-ის პროცესიდან დაზარალებული ინსტანციის ქვეშ. ისინი აკონტროლებდნენ ამ ტრაფიკს და ტელემეტრიიდან დაადგინეს, რომ Log4j-ის შეცვლილი ვერსია გამოიყენებოდა სერვერში შეღწევისთვის. ჩინელმა ჰაკერებმა შეტევა განახორციელეს 13 დეკემბერს გამოქვეყნებული საჯარო GitHub პროექტის გამოყენებით.
ჰაკერული აქტივობის შემდგომმა მონიტორინგმა აჩვენა, რომ Aquatic Panda ჰაკერები იყენებდნენ OS-ის ბინარებს, რათა გაეგოთ პრივილეგიების დონეები და სხვა დეტალები სისტემებისა და დომენის გარემოში. CrowdStrike-ის სპეციალისტებმა ასევე დაადგინეს, რომ ჰაკერები ცდილობდნენ დაებლოკათ მესამე მხარის საბოლოო წერტილის აღმოჩენისა და რეაგირების (EDR) აქტიური გადაწყვეტის ოპერაციები.
ამის შემდეგ OverWatch-ის სპეციალისტებმა განაგრძეს ჰაკერების საქმიანობის მონიტორინგი და შეძლეს შესაბამისი დაწესებულების ინფორმირება ჰაკერების პროგრესის შესახებ. აკადემიურ დაწესებულებას შეეძლო თავად ემოქმედა ამაზე და გაეტარებინა საჭირო კონტროლის ზომები და შეასწოროს დაუცველი აპლიკაციები.
წყლის პანდა ჰაკერები
ჩინური ჰაკერული ჯგუფი Aquatic Panda აქტიურია 2020 წლის მაისიდან. ჰაკერები ყურადღებას ამახვილებენ ექსკლუზიურად დაზვერვის შეგროვებასა და სამრეწველო შპიონაჟზე. თავდაპირველად ჯგუფი ძირითადად ორიენტირებული იყო ტელეკომის სექტორის კომპანიებზე, ტექნოლოგიების სექტორსა და მთავრობებზე.
ჰაკერები ძირითადად იყენებენ ეგრეთ წოდებულ Cobalt Strike ხელსაწყოების კომპლექტებს, მათ შორის უნიკალური Cobalt Strike downloader Fishmaster-ს. ჩინელი ჰაკერები ასევე იყენებენ ტექნიკას, როგორიცაა njRAt payloads სამიზნეების დასარტყმელად.
Log4j-ის მონიტორინგი მნიშვნელოვანია
ამ ინციდენტის საპასუხოდ, CrowdStrike-მ განაცხადა, რომ Log4j დაუცველობა არის სერიოზულად საშიში ექსპლუატაცია და რომ კომპანიები და ინსტიტუტები კარგს გააკეთებენ შეამოწმონ და ასევე გაასწორონ თავიანთი სისტემები ამ დაუცველობისთვის.