Aquatic Panda, chiński kolektyw hakerski, bezpośrednio wykorzystał lukę Log4j do zaatakowania nieujawnionej instytucji akademickiej. Atak został odkryty i odparty przez specjalistów od groźby Overwatch z CrowdStrike.
Według CrowdStrike chińscy (stanowi) hakerzy przeprowadzili atak na nienazwaną instytucję akademicką, wykorzystując odkrytą lukę Log4j. Ta luka została odkryta w podatnej na ataki instancji VMware Horizon instytucji, której dotyczy luka.
Instancja VMware Horizon
Łowcy zagrożeń CrowdStrike odkryli atak po wykryciu podejrzanego ruchu z procesu Tomcat działającego pod zaatakowaną instancją. Monitorowali ten ruch i ustalili na podstawie telemetrii, że zmodyfikowana wersja Log4j była używana do penetracji serwera. Chińscy hakerzy przeprowadzili atak za pomocą publicznego projektu GitHub opublikowanego 13 grudnia.
Dalsze monitorowanie aktywności hakerskiej ujawniło, że hakerzy Aquatic Panda używali natywnych plików binarnych systemu operacyjnego, aby zrozumieć poziomy uprawnień i inne szczegóły systemów i środowiska domeny. Specjaliści z CrowdStrike odkryli również, że hakerzy próbowali zablokować działanie aktywnego rozwiązania do wykrywania i reagowania na punktach końcowych innej firmy (EDR).
Specjaliści OverWatch kontynuowali następnie monitorowanie działań hakerów i byli w stanie na bieżąco informować daną instytucję o postępach włamań. Instytucja akademicka może sama podjąć działania w tej sprawie i podjąć niezbędne środki kontrolne oraz załatać podatną na ataki aplikację.
Hakerzy z pandy wodnej
Chińska grupa hakerska Aquatic Panda działa od maja 2020 roku. Hakerzy skupiają się wyłącznie na zbieraniu danych wywiadowczych i szpiegostwie przemysłowym. Początkowo grupa skupiała się głównie na firmach z sektora telekomunikacyjnego, technologicznego i rządów.
Hakerzy używają głównie tak zwanych zestawów narzędzi Cobalt Strike, w tym unikalnego programu do pobierania Cobalt Strike Fishmaster. Chińscy hakerzy wykorzystują również techniki, takie jak ładunki njRAt, aby trafiać w cele.
Monitorowanie Log4j ważne
W odpowiedzi na ten incydent CrowdStrike stwierdził, że luka Log4j jest bardzo niebezpiecznym exploitem, a firmy i instytucje dobrze by zrobiły, gdyby sprawdziły, a także załatały swoje systemy pod kątem tej luki.