kategória: Článok

Čínski hackeri vodných pand priamo zneužívajú Log4j

Aquatic Panda, čínsky hackerský kolektív, priamo využil zraniteľnosť Log4j na útok na neznámu akademickú inštitúciu. Útok objavili a čelili špecialisti na lov hrozieb Overwatch od CrowdStrike.

Podľa CrowdStrike čínski (štátni) hackeri spustili útok na nemenovanú akademickú inštitúciu pomocou objavenej zraniteľnosti Log4j. Táto zraniteľnosť bola nájdená v zraniteľnej inštancii VMware Horizon dotknutej inštitúcie.

Inštancia VMware Horizon

Lovci hrozieb CrowdStrike objavili útok po spozorovaní podozrivej prevádzky z procesu Tomcat bežiaceho pod postihnutou inštanciou. Sledovali túto prevádzku a z telemetrie zistili, že na prienik na server sa používa upravená verzia Log4j. Čínski hackeri vykonali útok pomocou verejného projektu GitHub zverejneného 13. decembra.

Ďalšie monitorovanie hackerskej aktivity odhalilo, že hackeri Aquatic Panda používali natívne binárne súbory operačného systému na pochopenie úrovní privilégií a ďalších podrobností o systémoch a prostredí domény. Špecialisti CrowdStrike tiež zistili, že hackeri sa pokúšali zablokovať operácie aktívneho riešenia detekcie a odozvy koncových bodov tretej strany (EDR).

Špecialisti OverWatch potom pokračovali v monitorovaní aktivít hackerov a boli schopní informovať príslušnú inštitúciu o postupe hacku. Akademická inštitúcia by v tom mohla konať sama a prijať potrebné kontrolné opatrenia a opraviť zraniteľnú aplikáciu.

Hackeri vodných pand

Čínska hackerská skupina Aquatic Panda je aktívna od mája 2020. Hackeri sa zameriavajú výlučne na zhromažďovanie spravodajských informácií a priemyselnú špionáž. Spočiatku sa skupina zameriavala najmä na spoločnosti v telekomunikačnom sektore, technologickom sektore a vlády.

Prečítajte si tiež

Je Svchost.exe malvér alebo vírus - ako to opraviť?

Hackeri využívajú najmä takzvané sady nástrojov Cobalt Strike, vrátane unikátneho sťahovača Cobalt Strike Fishmaster. Čínski hackeri tiež používajú techniky, ako je užitočné zaťaženie njRAt, aby zasiahli ciele.

Dôležité je monitorovanie Log4j

V reakcii na tento incident CrowdStrike uviedol, že zraniteľnosť Log4j je vážne nebezpečným zneužitím a že spoločnosti a inštitúcie by mali preveriť a tiež opraviť svoje systémy na túto zraniteľnosť.

Max Reisler

Pozdravujem! Volám sa Max a som súčasťou nášho tímu na odstraňovanie škodlivého softvéru. Naším poslaním je zostať ostražití voči vyvíjajúcim sa hrozbám malvéru. Prostredníctvom nášho blogu vás informujeme o najnovšom nebezpečenstve malvéru a počítačových vírusov a vybavujeme vás nástrojmi na ochranu vašich zariadení. Vaša podpora pri šírení týchto cenných informácií cez sociálne médiá je neoceniteľná v našom kolektívnom úsilí chrániť ostatných.