Aquatic Panda, кытай хакердик жамааты ачыкка чыкпаган академиялык мекемеге кол салуу үчүн Log4j аялуулугун түздөн-түз колдонгон. Кол салуу CrowdStrike'тин Overwatch коркунучтуу аңчылык боюнча адистери тарабынан табылып, ага каршы турушкан.
CrowdStrike билдиргендей, кытайлык (штаттык) хакерлер табылган Log4j кемчилигин колдонуу менен аты аталбаган академиялык мекемеге чабуул коюшкан. Бул алсыздык жабыркаган мекеменин аялуу VMware Horizon инстанциясында табылган.
VMware Horizon инстанциясы
CrowdStrike коркунучтуу аңчылары чабуулду жабыр тарткан инстанцияда иштеген Tomcat процессинен шектүү трафикти байкагандан кийин аныкташкан. Алар бул трафикти көзөмөлдөп, телеметриядан Log4jдин өзгөртүлгөн версиясы серверге кирүү үчүн колдонулуп жатканын аныкташкан. Кытайлык хакерлер чабуулду 13-декабрда жарыяланган GitHub коомдук долбоору аркылуу ишке ашырышкан.
Хакердик аракеттердин андан аркы мониторинги Aquatic Panda хакерлеринин артыкчылык даражаларын жана системалардын жана домен чөйрөсүнүн башка деталдарын түшүнүү үчүн жергиликтүү OS бинарларын колдонуп жатышканын көрсөттү. CrowdStrike адистери ошондой эле хакерлер үчүнчү тараптын активдүү акыркы чекиттерди аныктоо жана жооп берүү (EDR) чечиминин операцияларына бөгөт коюуга аракет кылып жатышканын аныкташкан.
Андан кийин OverWatch адистери хакерлердин иш-аракеттерине мониторинг жүргүзүүнү улантышты жана аталган мекемени хакерликтин жүрүшү жөнүндө кабардар кылып турууга мүмкүнчүлүк алышты. Бул боюнча академиялык мекеме өзү иш алып барып, керектүү контролдук чараларды көрүп, аялуу тиркемени түзө алат.
Aquatic Panda Hackers
Кытайлык Aquatic Panda хакердик тобу 2020-жылдын май айынан бери активдүү. Хакерлер чалгындоо маалыматын чогултууга жана өнөр жай шпиондугуна гана көңүл бурушат. Башында топ негизинен телекоммуникация тармагындагы компанияларга, технология секторуна жана өкмөттөргө багытталган.
Хакерлер негизинен Cobalt Strike деп аталган куралдар топтомун, анын ичинде уникалдуу Cobalt Strike жүктөөчү Fishmasterди колдонушат. Кытайлык хакерлер ошондой эле буталарга сокку уруу үчүн njRAt пайдалуу жүктөрү сыяктуу ыкмаларды колдонушат.
Log4j мониторинги маанилүү
Бул окуяга жооп кылып, CrowdStrike Log4j алсыздыгы олуттуу коркунучтуу эксплуатация болуп саналат жана компаниялар жана мекемелер бул алсыздыкты текшерип, ошондой эле системаларын жаңыртып коюшса жакшы болмок деп билдирди.