Aquatic Panda, китайський хакерський колектив, безпосередньо використав уразливість Log4j для атаки на нерозкриту академічну установу. Атаку виявили та протидіяли спеціалісти з полювання на загрози Overwatch CrowdStrike.
За даними CrowdStrike, китайські (державні) хакери розпочали атаку на неназваний академічний заклад, використовуючи виявлену вразливість Log4j. Цю вразливість виявлено у вразливому екземплярі VMware Horizon ураженої установи.
Мисливці на загрози CrowdStrike виявили атаку після того, як виявили підозрілий трафік із процесу Tomcat, що запущений під ураженим екземпляром. Вони відстежували цей трафік і за допомогою телеметрії визначили, що для проникнення на сервер використовується модифікована версія Log4j. Китайські хакери здійснили атаку за допомогою публічного проекту GitHub, опублікованого 13 грудня.
Подальший моніторинг хакерської діяльності виявив, що хакери Aquatic Panda використовували двійкові файли ОС, щоб зрозуміти рівні привілеїв та інші деталі системи та середовища домену. Фахівці CrowdStrike також виявили, що хакери намагалися заблокувати роботу активного стороннього рішення для виявлення та реагування на кінцеві точки (EDR).
Потім спеціалісти OverWatch продовжили стежити за діяльністю хакерів і змогли інформувати відповідну установу про прогрес хакерства. Академічна установа могла б діяти самостійно та вжити необхідних заходів контролю та виправити вразливий додаток.
Китайська хакерська група Aquatic Panda діє з травня 2020 року. Хакери зосереджені виключно на зборі розвідданих і промисловому шпигунстві. Спочатку група в основному зосередилася на компаніях у телекомунікаційному секторі, технологічному секторі та урядах.
Хакери в основному використовують так звані набори інструментів Cobalt Strike, включаючи унікальний завантажувач Cobalt Strike Fishmaster. Китайські хакери також використовують такі методи, як корисне навантаження njRAt, щоб вразити цілі.
У відповідь на цей інцидент CrowdStrike заявив, що вразливість Log4j є серйозно небезпечною експлойтом, і що компаніям та установам було б добре перевірити, а також виправити свої системи на наявність цієї вразливості.
Багато людей повідомляють про проблеми з веб-сайтом під назвою Tylophes.xyz. Цей веб-сайт обманом змушує користувачів…
Багато людей повідомляють про проблеми з веб-сайтом Sadre.co.in. Цей веб-сайт обманом змушує користувачів…
При ближчому розгляді Search.rainmealslow.live — це більше, ніж просто інструмент браузера. Насправді це браузер…
При ближчому розгляді Seek.asrcwus.com — це більше, ніж просто інструмент браузера. Насправді це браузер…
Багато людей повідомляють про проблеми з веб-сайтом під назвою Brobadsmart.com. Цей веб-сайт обманом змушує користувачів…
Багато людей повідомляють про проблеми з веб-сайтом Re-captha-version-3-265.buzz. Цей веб-сайт обманом змушує користувачів…