Aquatic Panda, um coletivo de hackers chinês, usou diretamente a vulnerabilidade Log4j para atacar uma instituição acadêmica não revelada. O ataque foi descoberto e combatido pelos especialistas em caça a ameaças da CrowdStrike em Overwatch.
De acordo com CrowdStrike, os hackers chineses (estatais) lançaram um ataque a uma instituição acadêmica sem nome usando uma vulnerabilidade descoberta do Log4j. Essa vulnerabilidade foi encontrada em uma instância vulnerável do VMware Horizon da instituição afetada.
Instância VMware Horizon
Os caçadores de ameaças da CrowdStrike descobriram o ataque depois de detectar tráfego suspeito de um processo Tomcat em execução na instância afetada. Eles monitoraram esse tráfego e determinaram pela telemetria que uma versão modificada do Log4j estava sendo usada para penetrar no servidor. Os hackers chineses realizaram o ataque usando um projeto público do GitHub publicado em 13 de dezembro.
O monitoramento adicional da atividade de hackers revelou que os hackers do Aquatic Panda estavam usando binários nativos do sistema operacional para entender os níveis de privilégio e outros detalhes dos sistemas e do ambiente de domínio. Os especialistas da CrowdStrike também descobriram que os hackers estavam tentando bloquear as operações de uma solução de detecção e resposta de endpoint (EDR) ativa de terceiros.
Os especialistas da OverWatch continuaram a monitorar as atividades dos hackers e conseguiram manter a instituição em questão informada sobre o progresso do hack. A própria instituição acadêmica poderia agir sobre isso e tomar as medidas de controle necessárias e corrigir o aplicativo vulnerável.
Hackers de Pandas Aquáticos
O grupo de hackers chinês Aquatic Panda está ativo desde maio de 2020. Os hackers se concentram exclusivamente na coleta de inteligência e espionagem industrial. Inicialmente, o grupo se concentrava principalmente em empresas do setor de telecomunicações, setor de tecnologia e governos.
Os hackers usam principalmente os chamados conjuntos de ferramentas Cobalt Strike, incluindo o exclusivo downloader Cobalt Strike Fishmaster. Os hackers chineses também usam técnicas como cargas úteis njRAt para atingir alvos.
Monitoramento Log4j importante
Em resposta a esse incidente, a CrowdStrike afirmou que a vulnerabilidade Log4j é uma exploração seriamente perigosa e que empresas e instituições fariam bem em verificar e também corrigir seus sistemas para essa vulnerabilidade.