Aquatic Panda, кинески хакерски колектив, директно ја искористи ранливоста Log4j за да нападне непозната академска институција. Нападот беше откриен и спротивставен од специјалисти за лов на закани од Overwatch на CrowdStrike.
Според CrowdStrike, кинеските (државни) хакери извршиле напад врз неименувана академска институција користејќи откриена ранливост Log4j. Оваа ранливост беше пронајдена во ранлива инстанца на VMware Horizon на засегнатата институција.
Пример VMware Horizon
Ловците на закани на CrowdStrike го открија нападот откако забележаа сомнителен сообраќај од процес на Tomcat што се одвива под погодениот примерок. Тие го следеа овој сообраќај и од телеметријата утврдија дека модифицираната верзија на Log4j се користи за пробивање на серверот. Кинеските хакери го извршија нападот користејќи јавен проект GitHub објавен на 13 декември.
Понатамошното следење на хакерската активност откри дека хакерите на Aquatic Panda користеле бинарни датотеки на оригиналниот оперативен систем за да ги разберат нивоата на привилегии и другите детали за системите и околината на доменот. Специјалистите на CrowdStrike, исто така, открија дека хакерите се обидуваат да ги блокираат операциите на активното решение за откривање и одговор на крајната точка од трета страна (EDR).
Специјалистите на OverWatch потоа продолжија да ги следат активностите на хакерите и можеа да ја информираат предметната институција за напредокот на хакирањето. Академската институција би можела сама да постапи по ова и да ги преземе потребните контролни мерки и да ја закрпи ранливата апликација.
Хакери на водни панди
Кинеската хакерска група Aquatic Panda е активна од мај 2020 година. Хакерите се фокусираат исклучиво на собирање разузнавачки информации и индустриска шпионажа. Првично, групата главно се фокусираше на компании од телекомуникацискиот сектор, технолошкиот сектор и владите.
Хакерите главно ги користат таканаречените комплети алатки Cobalt Strike, вклучувајќи го и уникатниот преземач на Cobalt Strike Fishmaster. Кинеските хакери исто така користат техники како што се носивост njRAt за да погодат цели.
Важно е да се следи Log4j
Како одговор на овој инцидент, CrowdStrike изјави дека ранливоста на Log4j е сериозно опасна експлоатација и дека компаниите и институциите би направиле добро да ја проверат и да ги закрпат нивните системи за оваа ранливост.