Čínski hackeri APT použili Log4Shell Exploit na zacielenie na akademickú inštitúciu

Log4Shell Exploit

Dabovaný nikdy predtým nevídaný nepriateľ cieleného prenikania so sídlom v Číne Vodná panda bolo pozorované, že využíva kritické chyby v protokolovacej knižnici Apache Log4j ako prístupový vektor na vykonávanie rôznych operácií po exploatácii, vrátane prieskumu a získavania poverení na cieľových systémoch.

Spoločnosť CrowdStrike, zaoberajúca sa kybernetickou bezpečnosťou, uviedla, že infiltrácia, ktorá bola nakoniec zmarená, bola zameraná na nemenovanú „veľkú akademickú inštitúciu“. Predpokladá sa, že štátom podporovaná skupina pôsobí od polovice roku 2020 v snahe o zhromažďovanie spravodajských informácií a priemyselnú špionáž, pričom jej útoky sú primárne zamerané proti spoločnostiam v telekomunikačnom, technologickom a vládnom sektore.

Pokus o vniknutie využil novoobjavenú chybu Log4Shell (CVE-2021-44228, skóre CVSS: 10.0), aby ste získali prístup k zraniteľnej inštancii produktu VMware Horizon na virtualizáciu desktopov a aplikácií, po ktorom nasledovalo spustenie série škodlivých príkazov organizovaných na načítanie dátových dát aktérov hrozieb hosťovaných na vzdialenom serveri.

Log4Shell Exploit

„Upravená verzia exploitu Log4j bola pravdepodobne použitá v priebehu operácií aktéra hrozby,“ poznamenali výskumníci a dodali, že išlo o využitie exploitu, ktorý bol zverejnený na GitHub 13. decembra 2021.

Škodlivé správanie spoločnosti Aquatic Panda presahovalo rámec prieskumu napadnutého hostiteľa, počnúc snahou o zastavenie služby detekcie a odozvy koncového bodu (EDR) tretej strany a až potom pristúpilo k získaniu užitočných dát v ďalšej fáze navrhnutých na získanie spätného shellu a poverení zberu. .

Potom, čo bola organizácia obetí upozornená na incident, entita „bola schopná rýchlo implementovať svoj protokol odozvy na incident, prípadne opraviť zraniteľnú aplikáciu a zabrániť ďalšej aktivite aktéra hrozby na hostiteľovi“. Vo svetle úspešného prerušenia útoku zostáva presný zámer neznámy.