Aquatic Panda, kitajska hekerska skupina, je neposredno uporabila ranljivost Log4j za napad na nerazkrito akademsko institucijo. Napad so odkrili in preprečili strokovnjaki za lov na grožnje Overwatch CrowdStrike.
Po poročanju CrowdStrike so kitajski (državni) hekerji sprožili napad na neimenovano akademsko institucijo z odkrito ranljivostjo Log4j. Ta ranljivost je bila ugotovljena v ranljivem primeru VMware Horizon prizadete ustanove.
Primerek VMware Horizon
Lovci na grožnje CrowdStrike so odkrili napad, potem ko so opazili sumljiv promet iz procesa Tomcat, ki se izvaja pod prizadetim primerkom. Ta promet so spremljali in iz telemetrije ugotovili, da se za prodor na strežnik uporablja spremenjena različica Log4j. Kitajski hekerji so napad izvedli s pomočjo javnega projekta GitHub, objavljenega 13. decembra.
Nadaljnje spremljanje hekerske dejavnosti je pokazalo, da hekerji Aquatic Panda uporabljajo izvorne binarne datoteke OS za razumevanje ravni privilegijev in drugih podrobnosti sistemov in okolja domene. Strokovnjaki CrowdStrike so tudi ugotovili, da so hekerji poskušali blokirati delovanje aktivne rešitve za odkrivanje in odzivanje končnih točk tretjih oseb (EDR).
Strokovnjaki OverWatch so nato nadaljevali s spremljanjem dejavnosti hekerjev in so lahko zadevno institucijo obveščali o napredku vdora. Akademska ustanova bi lahko sama ukrepala in sprejela potrebne nadzorne ukrepe ter popravila ranljivo aplikacijo.
Aquatic Panda Heckers
Kitajska hekerska skupina Aquatic Panda je aktivna od maja 2020. Hekerji se osredotočajo izključno na zbiranje obveščevalnih podatkov in industrijsko vohunjenje. Sprva se je skupina osredotočala predvsem na podjetja v telekomunikacijskem sektorju, tehnološkem sektorju in vladah.
Hekerji večinoma uporabljajo tako imenovane komplete orodij Cobalt Strike, vključno z edinstvenim prenosnikom Cobalt Strike Fishmaster. Kitajski hekerji uporabljajo tudi tehnike, kot je tovor njRAt, da zadenejo cilje.
Pomembno spremljanje Log4j
V odgovoru na ta incident je CrowdStrike izjavil, da je ranljivost Log4j resno nevaren izkoriščanje in da bi bilo podjetjem in institucijam dobro, da preverijo in tudi popravijo svoje sisteme za to ranljivost.