Китайская хак-группа Aquatic Panda использует Log4Shell для взлома учебных заведений - «Новости»

  • 10:30, 05-янв-2022
  • Новости / Вёрстка
  • Richardson
  • 0

Специалисты ИБ-компании CrowdStrike предупреждают: китайская кибершпионская хак-группа Aquatic Panda, замечена в использовании уязвимости Log4Shell, с помощью которой было скомпрометировано крупное академическое заведение.


Напомню, что уязвимость CVE-2021-44228, которую также называют Log4Shell и LogJam, была обнаружена в популяр­ной биб­лиоте­ке жур­налиро­вания Log4j в начале декабря.


Исследователи сообщают, что Aquatic Panda использует модифицированную версию эксплоита для бага в Log4j для получения первоначального доступа к целевой системе, а затем выполняет различные постэксплуатационные операции, включая разведку и сбор учетных данных.


Пытаясь скомпрометировать неназванное учебное заведение, хакеры нацелились на VMware Horizon, где использовалась уязвимая библиотека Log4j. Эксплоит, использованный в этой атаке, был опубликован на GitHub 13 декабря 2021 года.


В отчете CrowdStrike сказано, что злоумышленники выполнили проверку подключения с помощью lookup’ов DNS для поддомена, запущенного на VMware Horizon, в рамках Apache Tomcat. Затем группировка выполнила ряд Linux-команд на хосте Windows, где работала служба Apache Tomcat, включая направленные на развертывание вредоносных инструментов, размещенных в удаленной инфраструктуре.


Также атакующие провели разведку, пытаясь лучше понять уровни привилегий и узнать больше о домене, а также попытались прервать работу стороннего решения для обнаружения угроз на конечных точек и реагирования на них.


После развертывания дополнительных скриптов хакеры попытались выполнить команды PowerShell для извлечения малвари и трех файлов VBS, которые, похоже, представляли собой реверс-шеллы. Кроме того, Aquatic Panda предприняла несколько попыток сбора учетных данных, выполнив дампы памяти и подготовив их к краже.


Эксперты пишут, что атакованная организация была вовремя предупреждена о подозрительной активности и сумела быстро задействовать протокол реагирования на инциденты, исправив уязвимое ПО и предотвратив дальнейшее развитие вредоносной активности.



Группировка Aquatic Panda активна как минимум с мая 2020 года и обычно занимается сбором разведданных и промышленным шпионажем, нацеливаясь на организации в государственном, телекоммуникационном и технологическом секторах. Набор инструментов группы включает в себя Cobalt Strike, загрузчик FishMaster и njRAT.




Специалисты ИБ-компании CrowdStrike предупреждают: китайская кибершпионская хак-группа Aquatic Panda, замечена в использовании уязвимости Log4Shell, с помощью которой было скомпрометировано крупное академическое заведение. Напомню, что уязвимость CVE-2021-44228, которую также называют Log4Shell и LogJam, была обнаружена в популяр­ной биб­лиоте­ке жур­налиро­вания Log4j в начале декабря. Исследователи сообщают, что Aquatic Panda использует модифицированную версию эксплоита для бага в Log4j для получения первоначального доступа к целевой системе, а затем выполняет различные постэксплуатационные операции, включая разведку и сбор учетных данных. Пытаясь скомпрометировать неназванное учебное заведение, хакеры нацелились на VMware Horizon, где использовалась уязвимая библиотека Log4j. Эксплоит, использованный в этой атаке, был опубликован на GitHub 13 декабря 2021 года. В отчете CrowdStrike сказано, что злоумышленники выполнили проверку подключения с помощью lookup’ов DNS для поддомена, запущенного на VMware Horizon, в рамках Apache Tomcat. Затем группировка выполнила ряд Linux-команд на хосте Windows, где работала служба Apache Tomcat, включая направленные на развертывание вредоносных инструментов, размещенных в удаленной инфраструктуре. Также атакующие провели разведку, пытаясь лучше понять уровни привилегий и узнать больше о домене, а также попытались прервать работу стороннего решения для обнаружения угроз на конечных точек и реагирования на них. После развертывания дополнительных скриптов хакеры попытались выполнить команды PowerShell для извлечения малвари и трех файлов VBS, которые, похоже, представляли собой реверс-шеллы. Кроме того, Aquatic Panda предприняла несколько попыток сбора учетных данных, выполнив дампы памяти и подготовив их к краже. Эксперты пишут, что атакованная организация была вовремя предупреждена о подозрительной активности и сумела быстро задействовать протокол реагирования на инциденты, исправив уязвимое ПО и предотвратив дальнейшее развитие вредоносной активности. Группировка Aquatic Panda активна как минимум с мая 2020 года и обычно занимается сбором разведданных и промышленным шпионажем, нацеливаясь на организации в государственном, телекоммуникационном и технологическом секторах. Набор инструментов группы включает в себя Cobalt Strike, загрузчик FishMaster и njRAT.

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!