Aquatic Panda, kollettiv Ċiniż tal-hacking, uża direttament il-vulnerabbiltà Log4j biex jattakka istituzzjoni akkademika mhux żvelata. L-attakk ġie skopert u miġġielda mill-ispeċjalisti tal-kaċċa tat-theddid ta' Overwatch ta' CrowdStrike.
Skont CrowdStrike, il-hackers Ċiniżi (stat) nedew attakk fuq istituzzjoni akkademika mingħajr isem bl-użu ta 'vulnerabbiltà Log4j skoperta. Din il-vulnerabbiltà nstabet f'istanza vulnerabbli ta' VMware Horizon tal-istituzzjoni affettwata.
Istanza ta' VMware Horizon
Il-kaċċaturi tat-theddid ta’ CrowdStrike skoprew l-attakk wara li lemħu traffiku suspettuż minn proċess Tomcat għaddej taħt l-istanza affettwata. Huma mmonitorjaw dan it-traffiku u ddeterminaw mit-telemetrija li verżjoni modifikata ta 'Log4j kienet qed tintuża biex tippenetra s-server. Il-hackers Ċiniżi wettqu l-attakk permezz ta’ proġett pubbliku GitHub ippubblikat fit-13 ta’ Diċembru.
Monitoraġġ ulterjuri tal-attività tal-hacking wera li l-hackers tal-Aquatic Panda kienu qed jużaw binarji OS indiġeni biex jifhmu l-livelli ta 'privileġġ u dettalji oħra tas-sistemi u l-ambjent tad-dominju. L-ispeċjalisti ta 'CrowdStrike sabu wkoll li l-hackers kienu qed jippruvaw jimblukkaw l-operazzjonijiet ta' soluzzjoni attiva ta 'skoperta u rispons ta' endpoint (EDR) ta 'parti terza.
L-ispeċjalisti ta' OverWatch imbagħad komplew jimmonitorjaw l-attivitajiet tal-hackers u setgħu jżommu lill-istituzzjoni inkwistjoni infurmata dwar il-progress tal-hack. L-istituzzjoni akkademika tista' taġixxi fuq dan hija stess u tieħu l-miżuri ta' kontroll meħtieġa u twaħħal l-applikazzjoni vulnerabbli.
Akkwatiċi Panda Hackers
Il-grupp Ċiniż tal-hacking Aquatic Panda ilu attiv minn Mejju 2020. Il-hackers jiffokaw esklussivament fuq il-ġbir tal-intelliġenza u l-ispjunaġġ industrijali. Inizjalment, il-grupp iffoka prinċipalment fuq kumpaniji fis-settur tat-telekomunikazzjoni, is-settur tat-teknoloġija u l-gvernijiet.
Il-hackers prinċipalment jużaw l-hekk imsejħa settijiet ta 'għodda Cobalt Strike, inkluż l-uniku Cobalt Strike downloader Fishmaster. Il-hackers Ċiniżi jużaw ukoll tekniki bħal payloads njRAt biex jolqtu l-miri.
Monitoraġġ Log4j importanti
Bi tweġiba għal dan l-inċident, CrowdStrike iddikjara li l-vulnerabbiltà Log4j hija sfruttament perikoluż serjament u li l-kumpaniji u l-istituzzjonijiet jagħmlu tajjeb li jivverifikaw u wkoll jimpenjaw is-sistemi tagħhom għal din il-vulnerabbiltà.