Aquatic Panda, một tập thể hack của Trung Quốc, đã trực tiếp sử dụng lỗ hổng Log4j để tấn công một tổ chức học thuật không được tiết lộ. Cuộc tấn công đã được phát hiện và chống lại bởi các chuyên gia săn lùng Overwatch của CrowdStrike.
Theo CrowdStrike, tin tặc (nhà nước) Trung Quốc đã thực hiện một cuộc tấn công vào một cơ sở giáo dục giấu tên bằng cách sử dụng lỗ hổng Log4j đã được phát hiện. Lỗ hổng này được tìm thấy trong một phiên bản VMware Horizon dễ bị tấn công của tổ chức bị ảnh hưởng.
Phiên bản VMware Horizon
Những kẻ săn lùng mối đe dọa của CrowdStrike đã phát hiện ra cuộc tấn công sau khi phát hiện ra lưu lượng truy cập đáng ngờ từ một quy trình Tomcat đang chạy trong phiên bản bị ảnh hưởng. Họ đã theo dõi lưu lượng truy cập này và xác định từ máy đo từ xa rằng một phiên bản sửa đổi của Log4j đang được sử dụng để xâm nhập vào máy chủ. Các tin tặc Trung Quốc đã thực hiện cuộc tấn công bằng cách sử dụng một dự án GitHub công khai được công bố vào ngày 13 tháng XNUMX.
Theo dõi thêm về hoạt động hack cho thấy tin tặc Aquatic Panda đang sử dụng hệ điều hành nhị phân gốc để hiểu các mức đặc quyền và các chi tiết khác của hệ thống và môi trường miền. Các chuyên gia của CrowdStrike cũng phát hiện ra rằng tin tặc đang cố gắng chặn hoạt động của một giải pháp phát hiện và phản hồi điểm cuối (EDR) của bên thứ ba đang hoạt động.
Các chuyên gia OverWatch sau đó tiếp tục theo dõi các hoạt động của tin tặc và có thể thông báo cho tổ chức nghi vấn về tiến trình của vụ hack. Cơ sở giáo dục có thể tự hành động và thực hiện các biện pháp kiểm soát cần thiết và vá các ứng dụng dễ bị tấn công.
Tin tặc gấu trúc dưới nước
Nhóm hack Aquatic Panda của Trung Quốc đã hoạt động từ tháng 2020 năm XNUMX. Nhóm tin tặc này tập trung hoàn toàn vào việc thu thập thông tin tình báo và gián điệp công nghiệp. Ban đầu, tập đoàn chủ yếu tập trung vào các công ty trong lĩnh vực viễn thông, lĩnh vực công nghệ và các chính phủ.
Các tin tặc chủ yếu sử dụng cái gọi là bộ công cụ Cobalt Strike, bao gồm cả trình tải xuống Cobalt Strike duy nhất Fishmaster. Tin tặc Trung Quốc cũng sử dụng các kỹ thuật như tải trọng njRAt để tấn công mục tiêu.
Giám sát Log4j quan trọng
Đáp lại sự cố này, CrowdStrike tuyên bố rằng lỗ hổng Log4j là một hình thức khai thác nguy hiểm nghiêm trọng và rằng các công ty và tổ chức sẽ làm tốt việc kiểm tra và cũng như vá các hệ thống của họ đối với lỗ hổng này.