Aquatic Panda, një kolektiv kinez i hakerëve, ka përdorur drejtpërdrejt dobësinë Log4j për të sulmuar një institucion akademik të pazbuluar. Sulmi u zbulua dhe u kundërshtua nga specialistët kërcënues të Overwatch të CrowdStrike.
Sipas CrowdStrike, hakerët kinezë (shtetërorë) filluan një sulm ndaj një institucioni akademik pa emër duke përdorur një dobësi të zbuluar Log4j. Kjo dobësi u gjet në një shembull të cenueshëm VMware Horizon të institucionit të prekur.
Shembull VMware Horizon
Gjuetarët e kërcënimit të CrowdStrike zbuluan sulmin pasi zbuluan trafik të dyshimtë nga një proces Tomcat që funksiononte nën shembullin e prekur. Ata monitoruan këtë trafik dhe përcaktuan nga telemetria se një version i modifikuar i Log4j po përdorej për të depërtuar në server. Hakerët kinezë kryen sulmin duke përdorur një projekt publik GitHub të publikuar më 13 dhjetor.
Monitorimi i mëtejshëm i aktivitetit të hakerimit zbuloi se hakerët e Aquatic Panda po përdornin binarët vendas të OS për të kuptuar nivelet e privilegjeve dhe detaje të tjera të sistemeve dhe mjedisit të domenit. Specialistët e CrowdStrike zbuluan gjithashtu se hakerët po përpiqeshin të bllokonin operacionet e një zgjidhjeje aktive të zbulimit dhe përgjigjes së pikës fundore të palëve të treta (EDR).
Më pas, specialistët e OverWatch vazhduan të monitoronin aktivitetet e hakerëve dhe ishin në gjendje të mbanin të informuar institucionin në fjalë për ecurinë e hakerëve. Institucioni akademik mund të veprojë vetë për këtë dhe të marrë masat e nevojshme të kontrollit dhe të korrigjojë aplikacionin vulnerabël.
Hakerat e pandave ujore
Grupi kinez i hakerëve Aquatic Panda ka qenë aktiv që nga maji 2020. Hakerët fokusohen ekskluzivisht në mbledhjen e inteligjencës dhe spiunazhin industrial. Fillimisht, grupi u fokusua kryesisht në kompanitë në sektorin e telekomit, sektorin e teknologjisë dhe qeveritë.
Hakerët përdorin kryesisht të ashtuquajturat grupe mjetesh Cobalt Strike, duke përfshirë shkarkimin unik të Cobalt Strike Fishmaster. Hakerët kinezë përdorin gjithashtu teknika të tilla si ngarkesat njRAt për të goditur objektivat.
Monitorimi Log4j i rëndësishëm
Në përgjigje të këtij incidenti, CrowdStrike deklaroi se dobësia Log4j është një shfrytëzim seriozisht i rrezikshëm dhe se kompanitë dhe institucionet do të bënin mirë ta verifikonin dhe gjithashtu të rregullonin sistemet e tyre për këtë cenueshmëri.