Aquatic Panda ដែលជាសមូហភាពលួចចូលរបស់ចិន បានប្រើប្រាស់ដោយផ្ទាល់នូវភាពងាយរងគ្រោះ Log4j ដើម្បីវាយប្រហារស្ថាប័នសិក្សាដែលមិនបានបង្ហាញ។ ការវាយប្រហារត្រូវបានរកឃើញ និងប្រឆាំងដោយអ្នកជំនាញការគំរាមកំហែង Overwatch របស់ CrowdStrike ។
យោងតាម CrowdStrike ក្រុមហេកឃឺរបស់ចិន (រដ្ឋ) បានបើកការវាយប្រហារលើស្ថាប័នសិក្សាដែលមិនបញ្ចេញឈ្មោះដោយប្រើភាពងាយរងគ្រោះ Log4j ដែលបានរកឃើញ។ ភាពងាយរងគ្រោះនេះត្រូវបានរកឃើញនៅក្នុងឧទាហរណ៍ VMware Horizon ដែលងាយរងគ្រោះនៃស្ថាប័នដែលរងផលប៉ះពាល់។
ឧទាហរណ៍ VMware Horizon
អ្នកប្រមាញ់ការគំរាមកំហែងរបស់ CrowdStrike បានរកឃើញការវាយប្រហារនេះ បន្ទាប់ពីបានប្រទះឃើញចរាចរណ៍គួរឱ្យសង្ស័យពីដំណើរការ Tomcat ដែលដំណើរការនៅក្រោមករណីដែលរងផលប៉ះពាល់។ ពួកគេបានត្រួតពិនិត្យចរាចរណ៍នេះហើយបានកំណត់ពី telemetry ថាកំណែដែលបានកែប្រែនៃ Log4j កំពុងត្រូវបានប្រើប្រាស់ដើម្បីជ្រាបចូលទៅក្នុងម៉ាស៊ីនមេ។ ពួក Hacker ចិនបានធ្វើការវាយប្រហារដោយប្រើគម្រោង GitHub សាធារណៈដែលបានចេញផ្សាយនៅថ្ងៃទី 13 ខែធ្នូ។
ការត្រួតពិនិត្យបន្ថែមទៀតនៃសកម្មភាពលួចចូល បានបង្ហាញថា ពួក Hacker Aquatic Panda កំពុងប្រើប្រាស់ប្រព័ន្ធប្រតិបត្តិការ binaries ដើមដើម្បីយល់ពីកម្រិតសិទ្ធិ និងព័ត៌មានលម្អិតផ្សេងទៀតនៃប្រព័ន្ធ និងបរិស្ថានដែន។ អ្នកឯកទេសរបស់ CrowdStrike ក៏បានរកឃើញថាពួក Hacker កំពុងព្យាយាមរារាំងប្រតិបត្តិការនៃដំណោះស្រាយការរកឃើញ និងការឆ្លើយតបរបស់ភាគីទីបីសកម្ម (EDR) ។
បន្ទាប់មក អ្នកឯកទេស OverWatch បានបន្តតាមដានសកម្មភាពរបស់ពួក Hacker ហើយអាចរក្សាស្ថាប័ននៅក្នុងសំណួរជូនដំណឹងអំពីវឌ្ឍនភាពនៃការលួចចូល។ ស្ថាប័នសិក្សាអាចធ្វើសកម្មភាពដោយខ្លួនឯង និងចាត់វិធានការត្រួតពិនិត្យចាំបាច់ និងជួសជុលកម្មវិធីដែលងាយរងគ្រោះ។
ពួក Hacker Panda ទឹក
ក្រុម Hacker របស់ចិន Aquatic Panda បានធ្វើសកម្មភាពតាំងពីខែឧសភា ឆ្នាំ 2020។ ពួក Hacker ផ្តោតទាំងស្រុងលើការប្រមូលព័ត៌មានសម្ងាត់ និងចារកម្មឧស្សាហកម្ម។ ដំបូងឡើយ ក្រុមនេះផ្តោតជាសំខាន់ទៅលើក្រុមហ៊ុនក្នុងវិស័យទូរគមនាគមន៍ វិស័យបច្ចេកវិទ្យា និងរដ្ឋាភិបាល។
ពួក Hacker ភាគច្រើនប្រើអ្វីដែលគេហៅថាឧបករណ៍ Cobalt Strike រួមទាំងកម្មវិធីទាញយក Cobalt Strike តែមួយគត់ Fishmaster ។ ពួក Hacker ជនជាតិចិនក៏ប្រើបច្ចេកទេសដូចជា បន្ទុក njRAt ដើម្បីវាយប្រហារគោលដៅ។
ការត្រួតពិនិត្យ Log4j សំខាន់
ជាការឆ្លើយតបទៅនឹងឧបទ្ទវហេតុនេះ CrowdStrike បាននិយាយថា ភាពងាយរងគ្រោះ Log4j គឺជាការកេងប្រវ័ញ្ចដ៏គ្រោះថ្នាក់ ហើយក្រុមហ៊ុន និងស្ថាប័ននឹងធ្វើបានល្អដើម្បីពិនិត្យ និងជួសជុលប្រព័ន្ធរបស់ពួកគេសម្រាប់ភាពងាយរងគ្រោះនេះ។