Aquatic Panda กลุ่มแฮ็กชาวจีนใช้ช่องโหว่ Log4j โดยตรงเพื่อโจมตีสถาบันการศึกษาที่ไม่เปิดเผย การโจมตีถูกค้นพบและตอบโต้โดยผู้เชี่ยวชาญด้านการล่าภัยคุกคาม Overwatch ของ CrowdStrike
จากข้อมูลของ CrowdStrike แฮกเกอร์ชาวจีน (ของรัฐ) ได้เริ่มโจมตีสถาบันการศึกษาที่ไม่มีชื่อโดยใช้ช่องโหว่ของ Log4j ที่ค้นพบ พบช่องโหว่นี้ในอินสแตนซ์ VMware Horizon ที่มีช่องโหว่ของสถาบันที่ได้รับผลกระทบ
อินสแตนซ์ VMware Horizon
นักล่าภัยคุกคามของ CrowdStrike ค้นพบการโจมตีหลังจากตรวจพบการรับส่งข้อมูลที่น่าสงสัยจากกระบวนการ Tomcat ที่ทำงานภายใต้อินสแตนซ์ที่ได้รับผลกระทบ พวกเขาตรวจสอบการรับส่งข้อมูลนี้และพิจารณาจากการวัดผลทางไกลว่ามีการใช้ Log4j เวอร์ชันแก้ไขเพื่อเจาะเซิร์ฟเวอร์ แฮ็กเกอร์ชาวจีนทำการโจมตีโดยใช้โครงการ GitHub สาธารณะที่เผยแพร่เมื่อวันที่ 13 ธันวาคม
การตรวจสอบกิจกรรมการแฮ็กเพิ่มเติมเปิดเผยว่าแฮกเกอร์ Aquatic Panda ใช้ไบนารี OS ดั้งเดิมเพื่อทำความเข้าใจระดับสิทธิ์และรายละเอียดอื่น ๆ ของระบบและสภาพแวดล้อมของโดเมน ผู้เชี่ยวชาญของ CrowdStrike ยังพบว่าแฮ็กเกอร์พยายามบล็อกการทำงานของโซลูชันการตรวจจับและตอบสนองปลายทาง (EDR) ของบุคคลที่สามที่ทำงานอยู่
ผู้เชี่ยวชาญ OverWatch ยังคงติดตามกิจกรรมของแฮ็กเกอร์ต่อไป และสามารถแจ้งให้สถาบันที่เป็นปัญหาทราบถึงความคืบหน้าของการแฮ็ก สถาบันการศึกษาสามารถดำเนินการด้วยตนเองและใช้มาตรการควบคุมที่จำเป็นและแก้ไขแอปพลิเคชันที่มีช่องโหว่
แฮกเกอร์แพนด้าน้ำ
กลุ่มแฮ็กเกอร์ชาวจีน Aquatic Panda เปิดใช้งานตั้งแต่เดือนพฤษภาคม 2020 แฮกเกอร์มุ่งเน้นไปที่การรวบรวมข่าวกรองและการจารกรรมทางอุตสาหกรรมเท่านั้น ในขั้นต้น กลุ่มเน้นบริษัทในภาคโทรคมนาคม ภาคเทคโนโลยี และรัฐบาลเป็นหลัก
แฮกเกอร์ส่วนใหญ่ใช้ชุดเครื่องมือที่เรียกว่า Cobalt Strike รวมถึง Fishmaster ซึ่งเป็นตัวดาวน์โหลด Cobalt Strike ที่ไม่เหมือนใคร แฮกเกอร์ชาวจีนยังใช้เทคนิคต่างๆ เช่น njRAt payloads เพื่อโจมตีเป้าหมาย
การตรวจสอบ Log4j สำคัญ
เพื่อตอบสนองต่อเหตุการณ์นี้ CrowdStrike ระบุว่าช่องโหว่ของ Log4j เป็นการเอารัดเอาเปรียบที่อันตรายอย่างยิ่ง และบริษัทและสถาบันต่างๆ จะทำการตรวจสอบและแก้ไขระบบของพวกเขาสำหรับช่องโหว่นี้