Aquatic Panda, un colectiv chinez de hacking, a folosit direct vulnerabilitatea Log4j pentru a ataca o instituție academică nedezvăluită. Atacul a fost descoperit și contracarat de specialiștii în vânătoare de amenințări Overwatch de la CrowdStrike.
Potrivit CrowdStrike, hackerii chinezi (de stat) au lansat un atac asupra unei instituții academice fără nume folosind o vulnerabilitate Log4j descoperită. Această vulnerabilitate a fost găsită într-o instanță vulnerabilă VMware Horizon a instituției afectate.
Instanță VMware Horizon
Vânătorii de amenințări de la CrowdStrike au descoperit atacul după ce au descoperit trafic suspect de la un proces Tomcat care rulează sub instanța afectată. Ei au monitorizat acest trafic și au determinat din telemetrie că o versiune modificată a Log4j a fost folosită pentru a pătrunde în server. Hackerii chinezi au efectuat atacul folosind un proiect public GitHub publicat pe 13 decembrie.
O monitorizare suplimentară a activității de hacking a arătat că hackerii Aquatic Panda foloseau sisteme binare native ale sistemului de operare pentru a înțelege nivelurile de privilegii și alte detalii ale sistemelor și ale mediului de domeniu. De asemenea, specialiștii CrowdStrike au descoperit că hackerii încercau să blocheze operațiunile unei soluții active de detectare și răspuns (EDR) terță parte.
Specialiștii OverWatch au continuat apoi să monitorizeze activitățile hackerilor și au reușit să țină instituția în cauză la curent cu progresul hack-ului. Instituția academică ar putea acționa ea însăși în acest sens și să ia măsurile de control necesare și să corecteze aplicația vulnerabilă.
Hackerii panda acvatici
Grupul chinez de hacking Aquatic Panda este activ din mai 2020. Hackerii se concentrează exclusiv pe colectarea de informații și spionajul industrial. Inițial, grupul s-a concentrat în principal pe companii din sectorul telecomunicațiilor, sectorul tehnologiei și guverne.
Hackerii folosesc în principal așa-numitele seturi de instrumente Cobalt Strike, inclusiv unicul program de descărcare Cobalt Strike Fishmaster. Hackerii chinezi folosesc, de asemenea, tehnici precum încărcăturile utile njRAt pentru a atinge ținte.
Monitorizarea Log4j importantă
Ca răspuns la acest incident, CrowdStrike a declarat că vulnerabilitatea Log4j este o exploatare grav periculoasă și că companiile și instituțiile ar face bine să verifice și să-și corecteze sistemele pentru această vulnerabilitate.