„Aquatic Panda“, Kinijos įsilaužėlių kolektyvas, tiesiogiai panaudojo „Log4j“ pažeidžiamumą, kad atakuotų neatskleistą akademinę instituciją. Išpuolį aptiko ir atremta „CrowdStrike“ „Overwatch“ grėsmių medžioklės specialistai.
CrowdStrike teigimu, Kinijos (valstybės) įsilaužėliai pradėjo ataką prieš neįvardytą akademinę instituciją, naudodami aptiktą Log4j pažeidžiamumą. Šis pažeidžiamumas buvo rastas pažeidžiamame paveiktos įstaigos „VMware Horizon“ egzemplioriuje.
VMware Horizon egzempliorius
„CrowdStrike“ grėsmių ieškotojai išpuolį atrado pastebėję įtartiną srautą iš Tomcat proceso, veikiančio pagal paveiktą egzempliorių. Jie stebėjo šį srautą ir iš telemetrijos nustatė, kad į serverį įsiskverbti buvo naudojama modifikuota Log4j versija. Kinijos programišiai įvykdė ataką naudodami viešą GitHub projektą, paskelbtą gruodžio 13 d.
Tolesnis įsilaužimo veiklos stebėjimas atskleidė, kad „Aquatic Panda“ įsilaužėliai naudojo vietinius OS dvejetainius failus, kad suprastų privilegijų lygius ir kitą sistemų bei domeno aplinkos informaciją. „CrowdStrike“ specialistai taip pat nustatė, kad įsilaužėliai bandė blokuoti aktyvaus trečiosios šalies galutinio taško aptikimo ir atsako (EDR) sprendimo operacijas.
Tada „OverWatch“ specialistai toliau stebėjo įsilaužėlių veiklą ir galėjo informuoti atitinkamą įstaigą apie įsilaužimo eigą. Akademinė institucija galėtų pati imtis veiksmų ir imtis reikiamų kontrolės priemonių bei pataisyti pažeidžiamą programą.
Vandens pandų įsilaužėliai
Kinijos programišių grupė „Aquatic Panda“ veikia nuo 2020 m. gegužės mėn. Įsilaužėliai daugiausia dėmesio skiria žvalgybos duomenų rinkimui ir pramoniniam šnipinėjimui. Iš pradžių grupė daugiausia dėmesio skyrė telekomunikacijų, technologijų sektoriaus ir vyriausybių įmonėms.
Piratai daugiausia naudoja vadinamuosius „Cobalt Strike“ įrankių rinkinius, įskaitant unikalų „Cobalt Strike“ atsisiuntimo programą „Fishmaster“. Kinijos įsilaužėliai taip pat naudoja tokius metodus kaip njRAt naudingieji kroviniai, kad pasiektų taikinius.
Svarbu stebėti Log4j
Reaguodama į šį incidentą, „CrowdStrike“ pareiškė, kad „Log4j“ pažeidžiamumas yra labai pavojingas išnaudojimas ir kad įmonėms ir institucijoms būtų gerai patikrinti ir pataisyti savo sistemas dėl šio pažeidžiamumo.