中国黑客组织 Aquatic Panda 直接利用 Log4j 漏洞攻击了一家未公开的学术机构。 CrowdStrike 的守望先锋威胁搜寻专家发现并反击了这次攻击。
据 CrowdStrike 称,中国(国家)黑客利用发现的 Log4j 漏洞对一家未具名的学术机构发起了攻击。 在受影响机构的易受攻击的 VMware Horizon 实例中发现了此漏洞。
VMware Horizon 实例
CrowdStrike 的威胁猎手在发现来自受影响实例下运行的 Tomcat 进程的可疑流量后发现了这次攻击。 他们监控了这个流量,并从遥测中确定 Log4j 的修改版本被用于渗透服务器。 中国黑客使用 13 月 XNUMX 日发布的公共 GitHub 项目进行了攻击。
对黑客活动的进一步监控显示,Aquatic Panda 黑客正在使用本机操作系统二进制文件来了解系统和域环境的特权级别和其他细节。 CrowdStrike 的专家还发现,黑客正试图阻止活动的第三方端点检测和响应 (EDR) 解决方案的操作。
守望先锋专家随后继续监视黑客的活动,并能够让相关机构随时了解黑客的进展情况。 学术机构可以自行采取行动并采取必要的控制措施并修补易受攻击的应用程序。
水生熊猫黑客
中国黑客组织 Aquatic Panda 自 2020 年 XNUMX 月以来一直活跃。黑客专注于情报收集和工业间谍活动。 最初,该集团主要关注电信行业、技术行业和政府的公司。
黑客主要使用所谓的 Cobalt Strike 工具集,包括独特的 Cobalt Strike 下载器 Fishmaster。 中国黑客还使用 njRAt 有效载荷等技术来攻击目标。
监控 Log4j 重要
针对这一事件,CrowdStrike 表示,Log4j 漏洞是一个非常危险的漏洞利用,公司和机构会很好地审查和修补他们的系统以解决这个漏洞。