Categories: Стаття

Китайські хакери Aquatic Panda безпосередньо зловживають Log4j

Aquatic Panda, китайський хакерський колектив, безпосередньо використав уразливість Log4j для атаки на нерозкриту академічну установу. Атаку виявили та протидіяли спеціалісти з полювання на загрози Overwatch CrowdStrike.

За даними CrowdStrike, китайські (державні) хакери розпочали атаку на неназваний академічний заклад, використовуючи виявлену вразливість Log4j. Цю вразливість виявлено у вразливому екземплярі VMware Horizon ураженої установи.

Примірник VMware Horizon

Мисливці на загрози CrowdStrike виявили атаку після того, як виявили підозрілий трафік із процесу Tomcat, що запущений під ураженим екземпляром. Вони відстежували цей трафік і за допомогою телеметрії визначили, що для проникнення на сервер використовується модифікована версія Log4j. Китайські хакери здійснили атаку за допомогою публічного проекту GitHub, опублікованого 13 грудня.

Подальший моніторинг хакерської діяльності виявив, що хакери Aquatic Panda використовували двійкові файли ОС, щоб зрозуміти рівні привілеїв та інші деталі системи та середовища домену. Фахівці CrowdStrike також виявили, що хакери намагалися заблокувати роботу активного стороннього рішення для виявлення та реагування на кінцеві точки (EDR).

Потім спеціалісти OverWatch продовжили стежити за діяльністю хакерів і змогли інформувати відповідну установу про прогрес хакерства. Академічна установа могла б діяти самостійно та вжити необхідних заходів контролю та виправити вразливий додаток.

Хакери Aquatic Panda

Китайська хакерська група Aquatic Panda діє з травня 2020 року. Хакери зосереджені виключно на зборі розвідданих і промисловому шпигунстві. Спочатку група в основному зосередилася на компаніях у телекомунікаційному секторі, технологічному секторі та урядах.

Також читайте

Чи є Coolstarco.com шахрайством чи законним?

Хакери в основному використовують так звані набори інструментів Cobalt Strike, включаючи унікальний завантажувач Cobalt Strike Fishmaster. Китайські хакери також використовують такі методи, як корисне навантаження njRAt, щоб вразити цілі.

Важливий моніторинг Log4j

У відповідь на цей інцидент CrowdStrike заявив, що вразливість Log4j є серйозно небезпечною експлойтом, і що компаніям та установам було б добре перевірити, а також виправити свої системи на наявність цієї вразливості.

Макс Рейслер

вітаю! Я Макс, я член нашої команди з видалення шкідливих програм. Наша місія полягає в тому, щоб залишатися пильними щодо нових загроз зловмисного програмного забезпечення. У нашому блозі ми інформуємо вас про останні небезпеки зловмисного програмного забезпечення та комп’ютерних вірусів, надаючи вам інструменти для захисту ваших пристроїв. Ваша підтримка в поширенні цієї цінної інформації в соціальних мережах є неоціненною в наших спільних зусиллях із захисту інших.