Categorieën: Artikel

Chinese Aquatic Panda-hackers maken direct misbruik van Log4j

Aquatic Panda, een Chinees hackcollectief, heeft de Log4j-kwetsbaarheid rechtstreeks gebruikt om een niet nader genoemde academische instelling aan te vallen. De aanval werd ontdekt en bestreden door CrowdStrike's Overwatch threathunting-specialisten.

Volgens CrowdStrike hebben de Chinese (staats)hackers een aanval gelanceerd op een niet nader genoemde academische instelling met behulp van een ontdekte Log4j-kwetsbaarheid. Dit beveiligingslek is gevonden in een kwetsbare VMware Horizon-instantie van de getroffen instelling.

VMware Horizon-instantie

De bedreigingsjagers van CrowdStrike ontdekten de aanval nadat ze verdacht verkeer hadden opgemerkt van een Tomcat-proces dat onder de getroffen instantie draaide. Ze hielden dit verkeer in de gaten en bepaalden aan de hand van de telemetrie dat een aangepaste versie van Log4j werd gebruikt om de server binnen te dringen. De Chinese hackers voerden de aanval uit met behulp van een openbaar GitHub-project dat op 13 december werd gepubliceerd.

Verdere monitoring van de hackactiviteit onthulde dat de Aquatic Panda-hackers native OS-binaries gebruikten om de privilegeniveaus en andere details van de systemen en domeinomgeving te begrijpen. De specialisten van CrowdStrike ontdekten ook dat de hackers probeerden de activiteiten van een actieve endpointdetectie- en responsoplossing (EDR) van derden te blokkeren.

De specialisten van OverWatch bleven vervolgens de activiteiten van de hackers volgen en konden de betreffende instelling op de hoogte houden van het verloop van de hack. De academische instelling zou hier zelf op kunnen inspelen en de nodige beheersmaatregelen nemen en de kwetsbare applicatie patchen.

Aquatische Panda-hackers

De Chinese hackgroep Aquatic Panda is sinds mei 2020 actief. De hackers richten zich uitsluitend op het verzamelen van inlichtingen en industriële spionage. Aanvankelijk richtte de groep zich vooral op bedrijven in de telecomsector, de technologiesector en overheden.

Monitoring Log4j belangrijk

In reactie op dit incident verklaarde CrowdStrike dat de Log4j-kwetsbaarheid een zeer gevaarlijke exploit is en dat bedrijven en instellingen er goed aan zouden doen om hun systemen door te lichten en ook te patchen voor deze kwetsbaarheid.

Max Reisler

Groeten! Ik ben Max, onderdeel van ons malwareverwijderingsteam. Het is onze missie om waakzaam te blijven tegen evoluerende malwarebedreigingen. Via onze blog houden we u op de hoogte van de nieuwste gevaren van malware en computervirussen, zodat u over de tools beschikt om uw apparaten te beschermen. Uw steun bij het verspreiden van deze waardevolle informatie via sociale media is van onschatbare waarde in onze collectieve inspanning om anderen te beschermen.