Aquatic Panda, ett kinesiskt hackningskollektiv, har direkt använt log4j-sårbarheten för att attackera en okänd akademisk institution. Attacken upptäcktes och motverkades av CrowdStrikes Overwatch-hotjaktsspecialister.
Enligt CrowdStrike inledde de kinesiska (statliga) hackarna en attack mot en icke namngiven akademisk institution med hjälp av en upptäckt Log4j-sårbarhet. Denna sårbarhet hittades i en sårbar VMware Horizon-instans av den berörda institutionen.
VMware Horizon-instans
CrowdStrikes hotjägare upptäckte attacken efter att ha upptäckt misstänkt trafik från en Tomcat-process som kördes under den drabbade instansen. De övervakade denna trafik och fastställde utifrån telemetrin att en modifierad version av Log4j användes för att penetrera servern. De kinesiska hackarna utförde attacken med ett offentligt GitHub-projekt som publicerades den 13 december.
Ytterligare övervakning av hackningsaktiviteten visade att Aquatic Panda-hackarna använde inbyggda OS-binärfiler för att förstå privilegienivåerna och andra detaljer i systemen och domänmiljön. CrowdStrikes specialister fann också att hackarna försökte blockera driften av en aktiv tredjepartslösning för slutpunktsdetektion och -svar (EDR).
OverWatch-specialisterna fortsatte sedan att övervaka hackarnas aktiviteter och kunde hålla institutionen i fråga informerad om hackets framsteg. Den akademiska institutionen skulle kunna agera på detta själv och vidta nödvändiga kontrollåtgärder och lappa den sårbara ansökan.
Aquatic Panda Hackers
Den kinesiska hackergruppen Aquatic Panda har varit aktiv sedan maj 2020. Hackarna fokuserar uteslutande på underrättelseinsamling och industrispionage. Inledningsvis fokuserade gruppen främst på företag inom telekomsektorn, tekniksektorn och myndigheter.
Hackarna använder främst de så kallade Cobalt Strike-verktygssatserna, inklusive den unika Cobalt Strike-nedladdaren Fishmaster. De kinesiska hackarna använder också tekniker som njRAt-nyttolaster för att träffa mål.
Övervakning Log4j viktigt
Som svar på denna incident uttalade CrowdStrike att Log4j-sårbarheten är ett allvarligt farligt utnyttjande och att företag och institutioner skulle göra klokt i att utreda och även korrigera sina system för denna sårbarhet.