Aquatic Panda, ກຸ່ມແຮກເກີຂອງຈີນ, ໄດ້ໃຊ້ຊ່ອງໂຫວ່ຂອງ Log4j ໂດຍກົງເພື່ອໂຈມຕີສະຖາບັນການສຶກສາທີ່ບໍ່ໄດ້ເປີດເຜີຍ. ການໂຈມຕີໄດ້ຖືກຄົ້ນພົບ ແລະໂຕ້ຕອບໂດຍຜູ້ຊ່ຽວຊານການລ່າສັດ Overwatch ຂອງ CrowdStrike.
ອີງຕາມ CrowdStrike, ແຮກເກີຂອງຈີນ (ລັດ) ໄດ້ທໍາການໂຈມຕີສະຖາບັນການສຶກສາທີ່ບໍ່ມີຊື່ໂດຍໃຊ້ຊ່ອງໂຫວ່ Log4j ທີ່ຄົ້ນພົບ. ຊ່ອງໂຫວ່ນີ້ພົບເຫັນຢູ່ໃນຕົວຢ່າງ VMware Horizon ທີ່ມີຄວາມສ່ຽງຂອງສະຖາບັນທີ່ໄດ້ຮັບຜົນກະທົບ.
ຕົວຢ່າງ VMware Horizon
ນາຍພານໄພຂົ່ມຂູ່ຂອງ CrowdStrike ໄດ້ຄົ້ນພົບການໂຈມຕີ ຫຼັງຈາກໄດ້ພົບເຫັນການສັນຈອນທີ່ໜ້າສົງໄສຈາກຂະບວນການ Tomcat ທີ່ແລ່ນພາຍໃຕ້ຕົວຢ່າງທີ່ໄດ້ຮັບຜົນກະທົບ. ພວກເຂົາເຈົ້າຕິດຕາມກວດກາການຈະລາຈອນນີ້ແລະກໍານົດຈາກ telemetry ວ່າສະບັບດັດແກ້ຂອງ Log4j ຖືກນໍາໃຊ້ເພື່ອເຈາະເຄື່ອງແມ່ຂ່າຍ. ແຮກເກີຈີນໄດ້ທໍາການໂຈມຕີໂດຍໃຊ້ໂຄງການ GitHub ສາທາລະນະທີ່ເຜີຍແຜ່ໃນວັນທີ 13 ທັນວາ.
ການຕິດຕາມກິດຈະກໍາການແຮັກເພີ່ມເຕີມໄດ້ເປີດເຜີຍວ່າແຮກເກີ Aquatic Panda ກໍາລັງໃຊ້ binary OS ພື້ນເມືອງເພື່ອເຂົ້າໃຈລະດັບສິດທິພິເສດແລະລາຍລະອຽດອື່ນໆຂອງລະບົບແລະສະພາບແວດລ້ອມໂດເມນ. ຜູ້ຊ່ຽວຊານຂອງ CrowdStrike ຍັງພົບວ່າແຮກເກີພະຍາຍາມຂັດຂວາງການປະຕິບັດງານຂອງການແກ້ໄຂການກວດສອບແລະຕອບສະຫນອງ (EDR) ຂອງພາກສ່ວນທີສາມທີ່ມີການເຄື່ອນໄຫວ.
ຫຼັງຈາກນັ້ນ, ຜູ້ຊ່ຽວຊານຂອງ OverWatch ໄດ້ສືບຕໍ່ຕິດຕາມກິດຈະກໍາຂອງແຮກເກີແລະສາມາດຮັກສາສະຖາບັນທີ່ມີຄໍາຖາມກ່ຽວກັບຄວາມຄືບຫນ້າຂອງ hack ໄດ້. ສະຖາບັນການສຶກສາສາມາດປະຕິບັດຕົວຂອງມັນເອງແລະໃຊ້ມາດຕະການຄວບຄຸມທີ່ຈໍາເປັນແລະແກ້ໄຂຄໍາຮ້ອງສະຫມັກທີ່ມີຄວາມສ່ຽງ.
ແຮກເກີ Panda ນ້ໍາ
ກຸ່ມແຮກເກີຈີນ Aquatic Panda ໄດ້ມີການເຄື່ອນໄຫວຕັ້ງແຕ່ເດືອນພຶດສະພາ 2020. ແຮກເກີສຸມໃສ່ການລວບລວມຂ່າວລັບແລະການສອດແນມທາງອຸດສາຫະກໍາເທົ່ານັ້ນ. ໃນເບື້ອງຕົ້ນ, ກຸ່ມບໍລິສັດຕົ້ນຕໍແມ່ນສຸມໃສ່ບໍລິສັດໃນຂະແຫນງໂທລະຄົມ, ເຕັກໂນໂລຢີແລະລັດຖະບານ.
ແຮກເກີສ່ວນໃຫຍ່ແມ່ນໃຊ້ອັນທີ່ເອີ້ນວ່າຊຸດເຄື່ອງມື Cobalt Strike, ລວມທັງຕົວດາວໂຫລດ Cobalt Strike ທີ່ເປັນເອກະລັກ Fishmaster. ແຮກເກີຂອງຈີນຍັງໃຊ້ເຕັກນິກເຊັ່ນ: njRAt payloads ເພື່ອຕີເປົ້າຫມາຍ.
ການຕິດຕາມ Log4j ສໍາຄັນ
ໃນການຕອບສະຫນອງຕໍ່ເຫດການນີ້, CrowdStrike ໄດ້ກ່າວວ່າຊ່ອງໂຫວ່ Log4j ເປັນການຂູດຮີດທີ່ເປັນອັນຕະລາຍຢ່າງຮ້າຍແຮງແລະບໍລິສັດແລະສະຖາບັນຈະເຮັດດີເພື່ອ vet ແລະຍັງແກ້ໄຂລະບົບຂອງພວກເຂົາສໍາລັບຊ່ອງໂຫວ່ນີ້.