Aquatic Panda, қытайлық хакерлік ұжым, ашылмаған академиялық мекемеге шабуыл жасау үшін Log4j осалдығын тікелей пайдаланды. Шабуылды CrowdStrike-тің Overwatch қауіп-қатерімен айналысатын мамандары тауып, тойтарыс берді.
CrowdStrike мәліметтері бойынша, қытайлық (мемлекеттік) хакерлер табылған Log4j осалдығын пайдаланып аты аталмаған академиялық мекемеге шабуыл жасады. Бұл осалдық зардап шеккен мекеменің осал VMware Horizon данасында табылды.
VMware Horizon данасы
CrowdStrike қауіп аңшылары шабуылды зақымдалған данада жұмыс істейтін Tomcat процесінен күдікті трафикті байқағаннан кейін анықтады. Олар бұл трафикті бақылап, телеметрия арқылы серверге ену үшін Log4j өзгертілген нұсқасы пайдаланылып жатқанын анықтады. Қытайлық хакерлер шабуылды 13 желтоқсанда жарияланған GitHub жобасы арқылы жүзеге асырды.
Бұзушылық әрекетін одан әрі бақылау Aquatic Panda хакерлерінің артықшылық деңгейлерін және жүйелер мен домен ортасының басқа мәліметтерін түсіну үшін жергілікті операциялық жүйенің екілік файлдарын пайдаланғаны анықталды. CrowdStrike мамандары сонымен қатар хакерлер үшінші тараптың белсенді соңғы нүктені анықтау және жауап беру (EDR) шешімінің әрекеттерін блоктауға әрекеттенгенін анықтады.
Содан кейін OverWatch мамандары хакерлердің әрекеттерін бақылауды жалғастырды және бұл мекемені бұзу барысы туралы хабардар етіп отырды. Осыған байланысты академиялық мекеме өзі әрекет ете алады және қажетті бақылау шараларын қолдана алады және осал қолданбаны түзетеді.
Су панда хакерлері
Қытайлық Aquatic Panda хакерлік тобы 2020 жылдың мамыр айынан бастап белсенді жұмыс істейді. Хакерлер тек барлау ақпаратын жинауға және өндірістік тыңшылыққа бағытталған. Бастапқыда топ негізінен телекоммуникация секторындағы компанияларға, технология секторына және үкіметтерге назар аударды.
Хакерлер негізінен Cobalt Strike деп аталатын құралдар жиынын пайдаланады, соның ішінде бірегей Cobalt Strike жүктеушісі Fishmaster. Сондай-ақ қытайлық хакерлер нысанаға жету үшін njRAt пайдалы жүктемелері сияқты әдістерді пайдаланады.
Log4j мониторингі маңызды
Осы оқиғаға жауап ретінде CrowdStrike Log4j осалдығы өте қауіпті эксплуат екенін және компаниялар мен мекемелер осы осалдықты тексеріп, өз жүйелерін түзетсе жақсы болатынын мәлімдеді.