Категории: Статья

Китайские хакеры Aquatic Panda напрямую злоупотребляют Log4j

Aquatic Panda, китайский хакерский коллектив, напрямую использовал уязвимость Log4j для атаки на неизвестное академическое учреждение. Атака была обнаружена и отражена специалистами CrowdStrike по поиску угроз Overwatch.

По данным CrowdStrike, китайские (государственные) хакеры предприняли атаку на неназванное учебное заведение, используя обнаруженную уязвимость Log4j. Эта уязвимость была обнаружена в уязвимом экземпляре VMware Horizon пострадавшего учреждения.

Экземпляр VMware Horizon

Охотники за угрозами CrowdStrike обнаружили атаку после того, как обнаружили подозрительный трафик от процесса Tomcat, запущенного в уязвимом экземпляре. Они отслеживали этот трафик и по данным телеметрии определили, что для проникновения на сервер использовалась модифицированная версия Log4j. Атаку китайские хакеры осуществили с помощью публичного проекта GitHub, опубликованного 13 декабря.

Дальнейший мониторинг хакерской активности показал, что хакеры Aquatic Panda использовали собственные двоичные файлы ОС, чтобы понять уровни привилегий и другие детали систем и доменной среды. Специалисты CrowdStrike также обнаружили, что хакеры пытались заблокировать работу активного стороннего решения для обнаружения и реагирования на конечные точки (EDR).

Затем специалисты OverWatch продолжали следить за действиями хакеров и могли информировать соответствующее учреждение о ходе взлома. Академическое учреждение могло бы действовать самостоятельно и принять необходимые меры контроля и исправить уязвимое приложение.

Водные панды-хакеры

Китайская хакерская группа Aquatic Panda активно действует с мая 2020 года. Хакеры занимаются исключительно сбором разведданных и промышленным шпионажем. Первоначально группа в основном ориентировалась на компании телекоммуникационного сектора, технологического сектора и правительства.

Также читайте

Svchost.exe – это вредоносная программа или вирус – как исправить??

Хакеры в основном используют так называемые наборы инструментов Cobalt Strike, включая уникальный загрузчик Cobalt Strike Fishmaster. Китайские хакеры также используют такие методы, как полезная нагрузка njRAt, для поражения целей.

Мониторинг Log4j важен

В ответ на этот инцидент CrowdStrike заявила, что уязвимость Log4j представляет собой очень опасный эксплойт и что компаниям и учреждениям было бы полезно проверить свои системы, а также исправить эту уязвимость.

Макс Рейслер

Привет! Я Макс, член нашей команды по удалению вредоносного ПО. Наша миссия — сохранять бдительность в отношении развивающихся угроз вредоносного ПО. В нашем блоге мы держим вас в курсе последних опасностей, связанных с вредоносным ПО и компьютерными вирусами, предоставляя вам инструменты для защиты ваших устройств. Ваша поддержка в распространении этой ценной информации в социальных сетях неоценима в наших коллективных усилиях по защите других.