中國黑客組織 Aquatic Panda 直接利用 Log4j 漏洞攻擊了一家未公開的學術機構。 CrowdStrike 的守望先鋒威脅搜尋專家發現並反擊了這次攻擊。
據 CrowdStrike 稱,中國(國家)黑客利用發現的 Log4j 漏洞對一家未具名的學術機構發起了攻擊。 在受影響機構的易受攻擊的 VMware Horizon 實例中發現了此漏洞。
VMware Horizon 實例
CrowdStrike 的威脅獵手在發現來自受影響實例下運行的 Tomcat 進程的可疑流量後發現了這次攻擊。 他們監視此流量並從遙測中確定 Log4j 的修改版本正在用於滲透服務器。 中國黑客使用 13 月 XNUMX 日發布的公共 GitHub 項目進行了攻擊。
對黑客活動的進一步監控顯示,Aquatic Panda 黑客正在使用本機操作系統二進製文件來了解系統和域環境的特權級別和其他細節。 CrowdStrike 的專家還發現,黑客正試圖阻止活動的第三方端點檢測和響應 (EDR) 解決方案的操作。
守望先鋒專家隨後繼續監視黑客的活動,並能夠讓相關機構隨時了解黑客的進展情況。 學術機構可以自行採取行動並採取必要的控制措施並修補易受攻擊的應用程序。
水生熊貓黑客
中國黑客組織 Aquatic Panda 自 2020 年 XNUMX 月以來一直活躍。黑客專注於情報收集和工業間諜活動。 最初,該集團主要關注電信行業、技術行業和政府的公司。
黑客主要使用所謂的 Cobalt Strike 工具集,包括獨特的 Cobalt Strike 下載器 Fishmaster。 中國黑客還使用 njRAt 有效載荷等技術來攻擊目標。
監控 Log4j 重要
針對這一事件,CrowdStrike 表示,Log4j 漏洞是一個非常危險的漏洞利用,公司和機構會很好地審查和修補他們的系統以解決這個漏洞。