중국의 해킹 집단인 Aquatic Panda는 Log4j 취약점을 직접 사용하여 비공개 학술 기관을 공격했습니다. 공격은 CrowdStrike의 Overwatch 위협 사냥 전문가에 의해 발견되고 대응되었습니다.
CrowdStrike에 따르면 중국(국가) 해커가 발견된 Log4j 취약점을 사용하여 이름이 알려지지 않은 교육 기관에 대한 공격을 시작했습니다. 이 취약점은 영향을 받는 기관의 취약한 VMware Horizon 인스턴스에서 발견되었습니다.
VMware Horizon 인스턴스
CrowdStrike의 위협 사냥꾼은 영향을 받는 인스턴스에서 실행 중인 Tomcat 프로세스에서 의심스러운 트래픽을 발견한 후 공격을 발견했습니다. 그들은 이 트래픽을 모니터링하고 원격 측정에서 수정된 버전의 Log4j가 서버에 침투하는 데 사용되고 있음을 확인했습니다. 중국 해커들은 13월 XNUMX일에 공개된 GitHub 공개 프로젝트를 사용하여 공격을 수행했습니다.
해킹 활동을 추가로 모니터링한 결과 Aquatic Panda 해커가 기본 OS 바이너리를 사용하여 시스템 및 도메인 환경의 권한 수준 및 기타 세부 정보를 이해하고 있는 것으로 나타났습니다. CrowdStrike의 전문가들은 또한 해커가 활성 타사 EDR(Endpoint Detection and Response) 솔루션의 작동을 차단하려고 시도하고 있음을 발견했습니다.
그런 다음 OverWatch 전문가는 해커의 활동을 계속 모니터링하여 문제의 기관에 해킹 진행 상황을 알릴 수 있었습니다. 교육 기관은 이에 대해 스스로 조치를 취하고 필요한 통제 조치를 취하고 취약한 애플리케이션을 패치할 수 있습니다.
수생 팬더 해커
중국 해킹 그룹 Aquatic Panda는 2020년 XNUMX월부터 활동했습니다. 해커는 정보 수집 및 산업 스파이에만 집중합니다. 초기에 그룹은 주로 통신 부문, 기술 부문 및 정부의 기업에 중점을 두었습니다.
해커는 주로 고유한 Cobalt Strike 다운로더 Fishmaster를 포함하여 소위 Cobalt Strike 도구 세트를 사용합니다. 중국 해커는 또한 njRAt 페이로드와 같은 기술을 사용하여 대상을 공격합니다.
Log4j 모니터링 중요
이 사건에 대한 대응으로 CrowdStrike는 Log4j 취약점이 심각하게 위험한 익스플로잇이며 회사와 기관이 이 취약점에 대해 시스템을 검사하고 패치하는 것이 좋을 것이라고 말했습니다.