Aquatic Panda, čínsky hackerský kolektív, priamo využil zraniteľnosť Log4j na útok na neznámu akademickú inštitúciu. Útok objavili a čelili špecialisti na lov hrozieb Overwatch od CrowdStrike.
Podľa CrowdStrike čínski (štátni) hackeri spustili útok na nemenovanú akademickú inštitúciu pomocou objavenej zraniteľnosti Log4j. Táto zraniteľnosť bola nájdená v zraniteľnej inštancii VMware Horizon dotknutej inštitúcie.
Inštancia VMware Horizon
Lovci hrozieb CrowdStrike objavili útok po spozorovaní podozrivej prevádzky z procesu Tomcat bežiaceho pod postihnutou inštanciou. Sledovali túto prevádzku a z telemetrie zistili, že na prienik na server sa používa upravená verzia Log4j. Čínski hackeri vykonali útok pomocou verejného projektu GitHub zverejneného 13. decembra.
Ďalšie monitorovanie hackerskej aktivity odhalilo, že hackeri Aquatic Panda používali natívne binárne súbory operačného systému na pochopenie úrovní privilégií a ďalších podrobností o systémoch a prostredí domény. Špecialisti CrowdStrike tiež zistili, že hackeri sa pokúšali zablokovať operácie aktívneho riešenia detekcie a odozvy koncových bodov tretej strany (EDR).
Špecialisti OverWatch potom pokračovali v monitorovaní aktivít hackerov a boli schopní informovať príslušnú inštitúciu o postupe hacku. Akademická inštitúcia by v tom mohla konať sama a prijať potrebné kontrolné opatrenia a opraviť zraniteľnú aplikáciu.
Hackeri vodných pand
Čínska hackerská skupina Aquatic Panda je aktívna od mája 2020. Hackeri sa zameriavajú výlučne na zhromažďovanie spravodajských informácií a priemyselnú špionáž. Spočiatku sa skupina zameriavala najmä na spoločnosti v telekomunikačnom sektore, technologickom sektore a vlády.
Hackeri využívajú najmä takzvané sady nástrojov Cobalt Strike, vrátane unikátneho sťahovača Cobalt Strike Fishmaster. Čínski hackeri tiež používajú techniky, ako je užitočné zaťaženie njRAt, aby zasiahli ciele.
Dôležité je monitorovanie Log4j
V reakcii na tento incident CrowdStrike uviedol, že zraniteľnosť Log4j je vážne nebezpečným zneužitím a že spoločnosti a inštitúcie by mali preveriť a tiež opraviť svoje systémy na túto zraniteľnosť.