Хятадын хакерын нэгдэл болох Aquatic Panda нь Log4j-ийн эмзэг байдлыг ил тод бус эрдэм шинжилгээний байгууллага руу дайрахдаа шууд ашигласан байна. Энэхүү халдлагыг CrowdStrike-ийн Overwatch-ийн аюулын агнуурын мэргэжилтнүүд илрүүлж, эсэргүүцсэн байна.
CrowdStrike-ийн мэдээлснээр Хятадын (улсын) хакерууд илрүүлсэн Log4j сул талыг ашиглан нэр нь үл мэдэгдэх эрдэм шинжилгээний байгууллага руу халдлага үйлдсэн байна. Энэ эмзэг байдал нь нөлөөлөлд өртсөн байгууллагын VMware Horizon-ын эмзэг хувилбараас олдсон.
VMware Horizon жишээ
CrowdStrike-ийн заналхийллийн анчид өртсөн тохиолдлын дор ажиллаж байгаа Tomcat процессоос сэжигтэй урсгалыг олж харсны дараа халдлагыг илрүүлсэн. Тэд энэ траффикийг хянаж, телеметрийн тусламжтайгаар сервер рүү нэвтрэхийн тулд Log4j-ийн өөрчлөгдсөн хувилбарыг ашиглаж байгааг тогтоожээ. Хятадын хакерууд 13-р сарын XNUMX-нд нийтлэгдсэн олон нийтийн GitHub төслийг ашиглан халдлага үйлджээ.
Цаашид хакердах үйл ажиллагааг хянахад Aquatic Panda хакерууд систем болон домэйны орчны давуу эрхийн түвшин болон бусад нарийн ширийн зүйлийг ойлгохын тулд уугуул үйлдлийн системийн хоёртын файлуудыг ашиглаж байсныг илрүүлсэн. CrowdStrike-ийн мэргэжилтнүүд мөн хакерууд гуравдагч этгээдийн идэвхтэй эцсийн цэг илрүүлэх, хариу арга хэмжээ авах (EDR) шийдлийн ажиллагааг хаахыг оролдсон болохыг олж тогтоосон.
Дараа нь OverWatch-ийн мэргэжилтнүүд хакеруудын үйл ажиллагааг үргэлжлүүлэн хянаж, хакерын явцын талаар тухайн байгууллагад мэдээлэх боломжтой болсон. Эрдмийн байгууллага үүн дээр өөрөө арга хэмжээ авч, шаардлагатай хяналтын арга хэмжээг авч, эмзэг програмыг нөхөж болно.
Усан панда хакерууд
Хятадын “Aquatic Panda” хакерын бүлэг 2020 оны тавдугаар сараас хойш идэвхтэй үйл ажиллагаа явуулж байна. Хакерууд зөвхөн тагнуулын мэдээлэл цуглуулах, үйлдвэрлэлийн тагнуул хийх чиглэлээр ажилладаг. Эхэндээ групп нь харилцаа холбооны салбар, технологийн салбар, засгийн газруудын компаниудад голчлон анхаарч байв.
Хакерууд голдуу Cobalt Strike гэж нэрлэгддэг багаж хэрэгсэл, тэр дундаа өвөрмөц Cobalt Strike татан авагч Fishmaster ашигладаг. Хятадын хакерууд мөн байг онохын тулд njRAt ачаалал гэх мэт арга техникийг ашигладаг.
Log4j-г хянах нь чухал
Энэ үйл явдлын хариуд CrowdStrike Log4j-ийн эмзэг байдал нь ноцтой аюултай мөлжлөг бөгөөд компани, байгууллагууд энэхүү эмзэг байдлыг шалгаж, системээ засварлах нь зүйтэй гэж мэдэгдэв.