Aquatic Panda, китайський хакерський колектив, безпосередньо використав уразливість Log4j для атаки на нерозкриту академічну установу. Атаку виявили та протидіяли спеціалісти з полювання на загрози Overwatch CrowdStrike.
За даними CrowdStrike, китайські (державні) хакери розпочали атаку на неназваний академічний заклад, використовуючи виявлену вразливість Log4j. Цю вразливість виявлено у вразливому екземплярі VMware Horizon ураженої установи.
Примірник VMware Horizon
Мисливці на загрози CrowdStrike виявили атаку після того, як виявили підозрілий трафік із процесу Tomcat, що запущений під ураженим екземпляром. Вони відстежували цей трафік і за допомогою телеметрії визначили, що для проникнення на сервер використовується модифікована версія Log4j. Китайські хакери здійснили атаку за допомогою публічного проекту GitHub, опублікованого 13 грудня.
Подальший моніторинг хакерської діяльності виявив, що хакери Aquatic Panda використовували двійкові файли ОС, щоб зрозуміти рівні привілеїв та інші деталі системи та середовища домену. Фахівці CrowdStrike також виявили, що хакери намагалися заблокувати роботу активного стороннього рішення для виявлення та реагування на кінцеві точки (EDR).
Потім спеціалісти OverWatch продовжили стежити за діяльністю хакерів і змогли інформувати відповідну установу про прогрес хакерства. Академічна установа могла б діяти самостійно та вжити необхідних заходів контролю та виправити вразливий додаток.
Хакери Aquatic Panda
Китайська хакерська група Aquatic Panda діє з травня 2020 року. Хакери зосереджені виключно на зборі розвідданих і промисловому шпигунстві. Спочатку група в основному зосередилася на компаніях у телекомунікаційному секторі, технологічному секторі та урядах.
Хакери в основному використовують так звані набори інструментів Cobalt Strike, включаючи унікальний завантажувач Cobalt Strike Fishmaster. Китайські хакери також використовують такі методи, як корисне навантаження njRAt, щоб вразити цілі.
Важливий моніторинг Log4j
У відповідь на цей інцидент CrowdStrike заявив, що вразливість Log4j є серйозно небезпечною експлойтом, і що компаніям та установам було б добре перевірити, а також виправити свої системи на наявність цієї вразливості.