Ķīniešu hakeru kolektīvs Aquatic Panda ir tieši izmantojis Log4j ievainojamību, lai uzbruktu neizpaustai akadēmiskajai iestādei. Uzbrukumu atklāja un tam pretī stājās CrowdStrike Overwatch draudu medību speciālisti.
Saskaņā ar CrowdStrike teikto, Ķīnas (štata) hakeri uzsāka uzbrukumu nenosauktai akadēmiskajai iestādei, izmantojot atklāto Log4j ievainojamību. Šī ievainojamība tika atrasta skartās iestādes neaizsargātā VMware Horizon instancē.
VMware Horizon instance
CrowdStrike draudu mednieki atklāja uzbrukumu pēc tam, kad pamanīja aizdomīgu satiksmi no Tomcat procesa, kas darbojās saskaņā ar skarto gadījumu. Viņi uzraudzīja šo trafiku un no telemetrijas noteica, ka servera iekļūšanai tiek izmantota modificēta Log4j versija. Ķīniešu hakeri veica uzbrukumu, izmantojot publisku GitHub projektu, kas publicēts 13. decembrī.
Turpinot uzlaušanas darbību uzraudzību, atklājās, ka Aquatic Panda hakeri izmantoja OS bināros failus, lai izprastu privilēģiju līmeņus un citas sistēmas un domēna vides detaļas. CrowdStrike speciālisti arī atklāja, ka hakeri mēģināja bloķēt aktīva trešās puses galapunktu noteikšanas un atbildes (EDR) risinājuma darbības.
Pēc tam OverWatch speciālisti turpināja uzraudzīt hakeru darbības un varēja informēt attiecīgo iestādi par uzlaušanas gaitu. Akadēmiskā iestāde varētu pati rīkoties un veikt nepieciešamos kontroles pasākumus un aizlāpīt neaizsargāto aplikāciju.
Ūdens pandu hakeri
Ķīnas hakeru grupa Aquatic Panda darbojas kopš 2020. gada maija. Hakeri koncentrējas tikai uz izlūkdatu vākšanu un rūpniecisko spiegošanu. Sākotnēji grupa galvenokārt koncentrējās uz uzņēmumiem telekomunikāciju sektorā, tehnoloģiju sektorā un valdībās.
Hakeri galvenokārt izmanto tā sauktos Cobalt Strike rīku komplektus, tostarp unikālo Cobalt Strike lejupielādētāju Fishmaster. Ķīniešu hakeri izmanto arī tādas metodes kā njRAt lietderīgās slodzes, lai sasniegtu mērķus.
Log4j uzraudzība ir svarīga
Reaģējot uz šo incidentu, CrowdStrike paziņoja, ka Log4j ievainojamība ir nopietni bīstama izmantošana un ka uzņēmumiem un iestādēm būtu labi pārbaudīt un arī labot savas sistēmas, lai novērstu šo ievainojamību.