Aquatic Panda, et kinesisk hackerkollektiv, har direkte brukt Log4j-sårbarheten til å angripe en ikke avslørt akademisk institusjon. Angrepet ble oppdaget og motarbeidet av CrowdStrikes Overwatch trusseljaktspesialister.
I følge CrowdStrike startet de kinesiske (statlige) hackerne et angrep på en ikke navngitt akademisk institusjon ved å bruke en oppdaget Log4j-sårbarhet. Dette sikkerhetsproblemet ble funnet i en sårbar VMware Horizon-forekomst av den berørte institusjonen.
VMware Horizon-forekomst
CrowdStrikes trusseljegere oppdaget angrepet etter å ha oppdaget mistenkelig trafikk fra en Tomcat-prosess som kjører under den berørte forekomsten. De overvåket denne trafikken og fant ut fra telemetrien at en modifisert versjon av Log4j ble brukt for å penetrere serveren. De kinesiske hackerne utførte angrepet ved å bruke et offentlig GitHub-prosjekt publisert 13. desember.
Ytterligere overvåking av hackingaktiviteten avslørte at Aquatic Panda-hackerne brukte native OS-binærfiler for å forstå rettighetsnivåene og andre detaljer i systemene og domenemiljøet. CrowdStrikes spesialister fant også ut at hackerne forsøkte å blokkere operasjonene til en aktiv tredjeparts endepunktdeteksjons- og -svar-løsning (EDR).
OverWatch-spesialistene fortsatte deretter å overvåke hackernes aktiviteter og var i stand til å holde den aktuelle institusjonen informert om fremdriften til hacket. Den akademiske institusjonen kunne selv handle på dette og iverksette nødvendige kontrolltiltak og lappe den sårbare søknaden.
Aquatic Panda Hackere
Den kinesiske hackergruppen Aquatic Panda har vært aktiv siden mai 2020. Hackerne fokuserer utelukkende på etterretningsinnhenting og industrispionasje. I utgangspunktet fokuserte gruppen hovedsakelig på selskaper innen telekomsektoren, teknologisektoren og myndigheter.
Hackerne bruker hovedsakelig de såkalte Cobalt Strike-verktøysettene, inkludert den unike Cobalt Strike-nedlasteren Fishmaster. De kinesiske hackerne bruker også teknikker som njRAt-nyttelast for å treffe mål.
Overvåking Log4j viktig
Som svar på denne hendelsen uttalte CrowdStrike at Log4j-sårbarheten er en alvorlig farlig utnyttelse, og at selskaper og institusjoner vil gjøre klokt i å undersøke og også lappe systemene deres for denne sårbarheten.