Hackers chineses do panda aquático abusam diretamente do Log4j

Panda Aquático, um coletivo de hackers chinês, usou diretamente a vulnerabilidade Log4j para atacar uma instituição acadêmica não divulgada. O ataque foi descoberto e combatido pelos especialistas em assombração do Overwatch de CrowdStrike.

De acordo com CrowdStrike, o chinês (Estado) hackers lançaram um ataque a uma instituição acadêmica sem nome usando uma vulnerabilidade Log4j descoberta. Esta vulnerabilidade foi encontrada em uma instância VMware Horizon vulnerável da instituição afetada.

Instância VMware Horizon

Os caçadores de ameaças do CrowdStrike descobriram o ataque depois de detectar tráfego suspeito de um processo Tomcat em execução na instância afetada. Eles monitoraram esse tráfego e determinaram a partir da telemetria que uma versão modificada do Log4j estava sendo usada para penetrar no servidor. Os hackers chineses realizaram o ataque usando um projeto público do GitHub publicado em dezembro 13.

O monitoramento adicional da atividade de hacking revelou que os hackers do Aquatic Panda estavam usando binários do sistema operacional nativo para entender os níveis de privilégio e outros detalhes dos sistemas e ambiente de domínio. Os especialistas da CrowdStrike também descobriram que os hackers estavam tentando bloquear as operações de detecção e resposta de endpoint de terceiros. (EDR) solução.

Os especialistas do OverWatch continuaram a monitorar os hackers’ atividades e foram capazes de manter a instituição em questão informada sobre o progresso do hack. A instituição acadêmica poderia agir por conta própria e tomar as medidas de controle necessárias e corrigir o aplicativo vulnerável.

Aquatic Panda Hackers

O grupo de hackers chinês Aquatic Panda está ativo desde maio 2020. Os hackers se concentram exclusivamente na coleta de inteligência e espionagem industrial. Inicialmente, o grupo focou principalmente em empresas do setor de telecomunicações, o setor de tecnologia e governos.

Os hackers usam principalmente os chamados conjuntos de ferramentas Cobalt Strike, incluindo o exclusivo baixador Cobalt Strike Fishmaster. Os hackers chineses também usam técnicas como cargas úteis njRAt para atingir os alvos.

Monitorar Log4j importante

Em resposta a este incidente, CrowdStrike afirmou que a vulnerabilidade Log4j é uma exploração seriamente perigosa e que as empresas e instituições fariam bem em examinar e também corrigir seus sistemas para esta vulnerabilidade.