Aquatic Panda, китайский хакерский коллектив, напрямую использовал уязвимость Log4j для атаки на неизвестное академическое учреждение. Атака была обнаружена и отражена специалистами CrowdStrike по поиску угроз Overwatch.
По данным CrowdStrike, китайские (государственные) хакеры предприняли атаку на неназванное учебное заведение, используя обнаруженную уязвимость Log4j. Эта уязвимость была обнаружена в уязвимом экземпляре VMware Horizon пострадавшего учреждения.
Экземпляр VMware Horizon
Охотники за угрозами CrowdStrike обнаружили атаку после того, как обнаружили подозрительный трафик от процесса Tomcat, запущенного в уязвимом экземпляре. Они отслеживали этот трафик и по данным телеметрии определили, что для проникновения на сервер использовалась модифицированная версия Log4j. Атаку китайские хакеры осуществили с помощью публичного проекта GitHub, опубликованного 13 декабря.
Дальнейший мониторинг хакерской активности показал, что хакеры Aquatic Panda использовали собственные двоичные файлы ОС, чтобы понять уровни привилегий и другие детали систем и доменной среды. Специалисты CrowdStrike также обнаружили, что хакеры пытались заблокировать работу активного стороннего решения для обнаружения и реагирования на конечные точки (EDR).
Затем специалисты OverWatch продолжали следить за действиями хакеров и могли информировать соответствующее учреждение о ходе взлома. Академическое учреждение могло бы действовать самостоятельно и принять необходимые меры контроля и исправить уязвимое приложение.
Водные панды-хакеры
Китайская хакерская группа Aquatic Panda активно действует с мая 2020 года. Хакеры занимаются исключительно сбором разведданных и промышленным шпионажем. Первоначально группа в основном ориентировалась на компании телекоммуникационного сектора, технологического сектора и правительства.
Хакеры в основном используют так называемые наборы инструментов Cobalt Strike, включая уникальный загрузчик Cobalt Strike Fishmaster. Китайские хакеры также используют такие методы, как полезная нагрузка njRAt, для поражения целей.
Мониторинг Log4j важен
В ответ на этот инцидент CrowdStrike заявила, что уязвимость Log4j представляет собой очень опасный эксплойт и что компаниям и учреждениям было бы полезно проверить свои системы, а также исправить эту уязвимость.