Kategori: Artikel

Penggodam Panda Akuatik Cina Menyalahguna Log4j Secara Terus

Aquatic Panda, kolektif penggodaman Cina, telah secara langsung menggunakan kelemahan Log4j untuk menyerang institusi akademik yang tidak didedahkan. Serangan itu ditemui dan ditangkis oleh pakar pemburu ancaman Overwatch CrowdStrike.

Menurut CrowdStrike, penggodam China (negeri) melancarkan serangan ke atas institusi akademik yang tidak dinamakan menggunakan kelemahan Log4j yang ditemui. Kerentanan ini ditemui dalam contoh VMware Horizon yang terdedah kepada institusi yang terjejas.

Contoh VMware Horizon

Pemburu ancaman CrowdStrike menemui serangan itu selepas mengesan trafik yang mencurigakan daripada proses Tomcat yang berjalan di bawah kejadian yang terjejas. Mereka memantau lalu lintas ini dan menentukan dari telemetri bahawa versi Log4j yang diubah suai sedang digunakan untuk menembusi pelayan. Penggodam China melakukan serangan itu menggunakan projek GitHub awam yang diterbitkan pada 13 Disember.

Pemantauan lanjut terhadap aktiviti penggodaman mendedahkan bahawa penggodam Aquatic Panda menggunakan binari OS asli untuk memahami tahap keistimewaan dan butiran lain sistem dan persekitaran domain. Pakar CrowdStrike juga mendapati bahawa penggodam cuba menyekat operasi penyelesaian pengesanan dan tindak balas titik akhir pihak ketiga yang aktif (EDR).

Pakar OverWatch kemudiannya terus memantau aktiviti penggodam dan dapat memastikan institusi berkenaan dimaklumkan tentang kemajuan penggodaman. Institusi akademik boleh bertindak atas perkara ini sendiri dan mengambil langkah kawalan yang diperlukan dan menambal aplikasi yang terdedah.

Penggodam Panda Akuatik

Kumpulan penggodam China Aquatic Panda telah aktif sejak Mei 2020. Penggodam memfokuskan secara eksklusif pada pengumpulan risikan dan pengintipan industri. Pada mulanya, kumpulan itu memberi tumpuan terutamanya kepada syarikat dalam sektor telekomunikasi, sektor teknologi dan kerajaan.

Juga baca

Adakah Svchost.exe perisian hasad atau virus - bagaimana untuk membetulkannya??

Penggodam terutamanya menggunakan set alat Cobalt Strike yang dipanggil, termasuk pemuat turun Cobalt Strike Fishmaster yang unik. Penggodam Cina juga menggunakan teknik seperti muatan njRAt untuk mencapai sasaran.

Pemantauan Log4j penting

Sebagai tindak balas kepada insiden ini, CrowdStrike menyatakan bahawa kelemahan Log4j adalah eksploitasi yang sangat berbahaya dan syarikat dan institusi akan melakukan pemeriksaan dan juga menampal sistem mereka untuk kelemahan ini.

Max Reisler

salam sejahtera! Saya Max, sebahagian daripada pasukan penyingkiran perisian hasad kami. Misi kami adalah untuk terus berwaspada terhadap ancaman perisian hasad yang berkembang. Melalui blog kami, kami memaklumkan anda tentang bahaya perisian hasad dan virus komputer terkini, melengkapkan anda dengan alatan untuk melindungi peranti anda. Sokongan anda dalam menyebarkan maklumat berharga ini merentasi media sosial adalah tidak ternilai dalam usaha kolektif kami untuk melindungi orang lain.