Çinli bir bilgisayar korsanlığı topluluğu olan Aquatic Panda, açıklanmayan bir akademik kuruma saldırmak için doğrudan Log4j güvenlik açığını kullandı. Saldırı, CrowdStrike'ın Overwatch tehdit avcılığı uzmanları tarafından keşfedildi ve karşılandı.
CrowdStrike'a göre, Çinli (eyalet) bilgisayar korsanları, keşfedilen bir Log4j güvenlik açığını kullanarak adı açıklanmayan bir akademik kuruma saldırı başlattı. Bu güvenlik açığı, etkilenen kurumun güvenlik açığı bulunan bir VMware Horizon örneğinde bulundu.
VMware Horizon örneği
CrowdStrike'ın tehdit avcıları, etkilenen örnek altında çalışan bir Tomcat sürecinden gelen şüpheli trafiği tespit ettikten sonra saldırıyı keşfetti. Bu trafiği izlediler ve telemetriden, sunucuya sızmak için değiştirilmiş bir Log4j sürümünün kullanıldığını belirlediler. Çinli bilgisayar korsanları, 13 Aralık'ta yayınlanan halka açık bir GitHub projesini kullanarak saldırıyı gerçekleştirdi.
Bilgisayar korsanlığı etkinliğinin daha fazla izlenmesi, Aquatic Panda bilgisayar korsanlarının, sistemlerin ve etki alanı ortamının ayrıcalık düzeylerini ve diğer ayrıntılarını anlamak için yerel işletim sistemi ikili dosyalarını kullandığını ortaya çıkardı. CrowdStrike uzmanları, bilgisayar korsanlarının aktif bir üçüncü taraf uç nokta algılama ve yanıt (EDR) çözümünün işlemlerini engellemeye çalıştığını da buldu.
OverWatch uzmanları daha sonra bilgisayar korsanlarının faaliyetlerini izlemeye devam etti ve söz konusu kurumu saldırının ilerleyişi hakkında bilgilendirebildi. Akademik kurum bu konuda kendi başına hareket edebilir ve gerekli kontrol önlemlerini alabilir ve savunmasız uygulamayı yamalayabilir.
Su Panda Hackerları
Çinli hacker grubu Aquatic Panda, Mayıs 2020'den beri aktif. Bilgisayar korsanları yalnızca istihbarat toplama ve endüstriyel casusluğa odaklanıyor. Başlangıçta grup ağırlıklı olarak telekom sektöründeki şirketlere, teknoloji sektörüne ve hükümetlere odaklandı.
Bilgisayar korsanları, esas olarak, benzersiz Cobalt Strike indirici Fishmaster dahil olmak üzere, sözde Cobalt Strike araç setlerini kullanıyor. Çinli bilgisayar korsanları, hedefleri vurmak için njRAt yükleri gibi teknikleri de kullanıyor.
Log4j'nin izlenmesi önemli
Bu olaya yanıt olarak CrowdStrike, Log4j güvenlik açığının ciddi şekilde tehlikeli bir istismar olduğunu ve şirketlerin ve kurumların bu güvenlik açığını araştırıp sistemlerine yama yapmalarının iyi olacağını belirtti.