Ang Aquatic Panda, isang Chinese hacking collective, ay direktang gumamit ng Log4j vulnerability para atakehin ang isang hindi nabunyag na institusyong pang-akademiko. Natuklasan ang pag-atake at nalabanan ng mga espesyalista sa pagbabanta ng CrowdStrike's Overwatch.
Ayon sa CrowdStrike, ang mga hacker ng Tsino (estado) ay naglunsad ng pag-atake sa isang hindi pinangalanang institusyong pang-akademiko gamit ang isang natuklasang kahinaan sa Log4j. Ang kahinaan na ito ay natagpuan sa isang mahina na instance ng VMware Horizon ng apektadong institusyon.
Halimbawa ng VMware Horizon
Natuklasan ng mga mangangaso ng banta ng CrowdStrike ang pag-atake matapos makita ang kahina-hinalang trapiko mula sa proseso ng Tomcat na tumatakbo sa ilalim ng apektadong pagkakataon. Sinusubaybayan nila ang trapikong ito at natukoy mula sa telemetry na ang isang binagong bersyon ng Log4j ay ginagamit upang tumagos sa server. Ang mga hacker ng China ay nagsagawa ng pag-atake gamit ang isang pampublikong proyekto ng GitHub na inilathala noong Disyembre 13.
Ang karagdagang pagsubaybay sa aktibidad ng pag-hack ay nagsiwalat na ang mga hacker ng Aquatic Panda ay gumagamit ng mga native na binary ng OS upang maunawaan ang mga antas ng pribilehiyo at iba pang mga detalye ng mga system at kapaligiran ng domain. Nalaman din ng mga espesyalista ng CrowdStrike na sinusubukan ng mga hacker na harangan ang mga operasyon ng isang aktibong third-party na endpoint detection and response (EDR) na solusyon.
Ang mga espesyalista sa OverWatch pagkatapos ay nagpatuloy sa pagsubaybay sa mga aktibidad ng mga hacker at nagawa nilang panatilihing alam ang pinag-uusapang institusyon tungkol sa pag-unlad ng hack. Ang institusyong pang-akademiko ay maaaring kumilos dito mismo at gawin ang mga kinakailangang hakbang sa pagkontrol at i-patch ang mahinang aplikasyon.
Mga Hacker ng Aquatic Panda
Ang Chinese hacking group na Aquatic Panda ay naging aktibo mula noong Mayo 2020. Eksklusibong tumutok ang mga hacker sa intelligence gathering at industrial espionage. Sa una, pangunahing nakatuon ang grupo sa mga kumpanya sa sektor ng telecom, sektor ng teknolohiya at mga pamahalaan.
Pangunahing ginagamit ng mga hacker ang tinatawag na Cobalt Strike tool sets, kabilang ang natatanging Cobalt Strike downloader na Fishmaster. Gumagamit din ang mga hacker ng Tsino ng mga pamamaraan tulad ng mga njRAt payload upang maabot ang mga target.
Mahalaga ang pagsubaybay sa Log4j
Bilang tugon sa insidenteng ito, sinabi ng CrowdStrike na ang kahinaan ng Log4j ay isang seryosong mapanganib na pagsasamantala at ang mga kumpanya at institusyon ay makabubuting suriin at i-patch din ang kanilang mga system para sa kahinaang ito.