Aquatic Panda, kolektif penggodaman Cina, telah secara langsung menggunakan kelemahan Log4j untuk menyerang institusi akademik yang tidak didedahkan. Serangan itu ditemui dan ditangkis oleh pakar pemburu ancaman Overwatch CrowdStrike.
Menurut CrowdStrike, penggodam China (negeri) melancarkan serangan ke atas institusi akademik yang tidak dinamakan menggunakan kelemahan Log4j yang ditemui. Kerentanan ini ditemui dalam contoh VMware Horizon yang terdedah kepada institusi yang terjejas.
Contoh VMware Horizon
Pemburu ancaman CrowdStrike menemui serangan itu selepas mengesan trafik yang mencurigakan daripada proses Tomcat yang berjalan di bawah kejadian yang terjejas. Mereka memantau lalu lintas ini dan menentukan dari telemetri bahawa versi Log4j yang diubah suai sedang digunakan untuk menembusi pelayan. Penggodam China melakukan serangan itu menggunakan projek GitHub awam yang diterbitkan pada 13 Disember.
Pemantauan lanjut terhadap aktiviti penggodaman mendedahkan bahawa penggodam Aquatic Panda menggunakan binari OS asli untuk memahami tahap keistimewaan dan butiran lain sistem dan persekitaran domain. Pakar CrowdStrike juga mendapati bahawa penggodam cuba menyekat operasi penyelesaian pengesanan dan tindak balas titik akhir pihak ketiga yang aktif (EDR).
Pakar OverWatch kemudiannya terus memantau aktiviti penggodam dan dapat memastikan institusi berkenaan dimaklumkan tentang kemajuan penggodaman. Institusi akademik boleh bertindak atas perkara ini sendiri dan mengambil langkah kawalan yang diperlukan dan menambal aplikasi yang terdedah.
Penggodam Panda Akuatik
Kumpulan penggodam China Aquatic Panda telah aktif sejak Mei 2020. Penggodam memfokuskan secara eksklusif pada pengumpulan risikan dan pengintipan industri. Pada mulanya, kumpulan itu memberi tumpuan terutamanya kepada syarikat dalam sektor telekomunikasi, sektor teknologi dan kerajaan.
Penggodam terutamanya menggunakan set alat Cobalt Strike yang dipanggil, termasuk pemuat turun Cobalt Strike Fishmaster yang unik. Penggodam Cina juga menggunakan teknik seperti muatan njRAt untuk mencapai sasaran.
Pemantauan Log4j penting
Sebagai tindak balas kepada insiden ini, CrowdStrike menyatakan bahawa kelemahan Log4j adalah eksploitasi yang sangat berbahaya dan syarikat dan institusi akan melakukan pemeriksaan dan juga menampal sistem mereka untuk kelemahan ini.