Jonathan Greig Staff Writer
Jonathan Greig er journalist baseret i New York City.
Fuld bio den 29. december 2021 | Emne: Sikkerhed
Cybersikkerhedsvirksomheden CrowdStrike har opdaget et forsøg fra en Kina-baseret gruppe på at infiltrere en akademisk institution gennem Log4j-sårbarheden.
CrowdStrike kaldte gruppen “Aquatic Panda” og sagde, at den er en “indtrængningsmodstander med en dobbelt mission med efterretningsindsamling og industriel spionage”, som har fungeret siden mindst maj 2020.
Gruppens præcise hensigt er ukendt, fordi angrebet blev forstyrret. CrowdStrike fortalte imidlertid ZDNet, at Aquatic Panda er kendt for at opretholde vedholdenhed i miljøer for at få adgang til intellektuel ejendomsret og andre industrielle forretningshemmeligheder.
“Aquatic Panda-aktiviteter har primært fokuseret på enheder inden for telekommunikation, teknologi, og offentlige sektorer,” forklarede CrowdStrike i en rapport.
Ifølge CrowdStrike afdækkede deres system “mistænkelig aktivitet, der stammer fra en Tomcat-proces, der kører under en sårbar VMWare Horizon-instans på en stor akademisk institution, hvilket førte til afbrydelse af en aktiv praktisk indtrængen.”
Efter at have set gruppen opererer og undersøger den tilgængelige telemetri, CrowdStrike sagde, at den mener, at en modificeret version af Log4j-udnyttelsen sandsynligvis blev brugt i løbet af trusselsaktørens operationer.
Holdet hos CrowdStrike opdagede, at Aquatic Panda brugte et offentligt GitHub-projekt fra 13. december 2021 for at få adgang til den sårbare forekomst af VMWare Horizon.
“Aquatic Panda fortsatte deres rekognoscering fra værten ved at bruge native OS-binære filer til at forstå nuværende privilegieniveauer samt system- og domænedetaljer. OverWatch-trusselsjægere observerede også et forsøg på at opdage og stoppe et tredjepartsslutpunkt Detection and Response (EDR) service,” forklarede virksomheden.
“Under hele indtrængen fulgte OverWatch trusselsaktørens aktivitet tæt for at kunne levere løbende opdateringer til offerorganisationen. Baseret på den handlingsrettede efterretninger leveret af OverWatch, var offerorganisationen i stand til hurtigt at implementere deres hændelsesresponsprotokol og til sidst patchede den sårbare applikation og forhindre yderligere trusselsaktøraktivitet på værten.”
CrowdStrike-embedsmænd fortalte ZDNet, at de ser forskellige trusselsaktører både i og uden for Kina, der udnytter Log4J-sårbarheden, med modstandere lige fra avancerede trusselsaktører til e-kriminalitetsaktører .
“I sidste ende er levedygtigheden af denne udnyttelse veldokumenteret med en betydelig angrebsoverflade stadig til stede. Vi vil fortsætte med at se trusselsaktører, der gør brug af denne sårbarhed, indtil alle anbefalede afbødninger er på plads,” sagde CrowdStrike i et interview.
I sidste uge udsendte USA, Storbritannien, Australien og andre lande en Log4j-advisering som svar på “aktiv, verdensomspændende udnyttelse af adskillige trusselsaktører, herunder ondsindede cybertrusselsaktører.”
Adskillige grupper fra Nordkorea, Iran, Tyrkiet og Kina er blevet set udnytte sårbarheden sammen med en række ransomware-grupper og cyberkriminelle organisationer.
CISA-direktør Jen Easterly sagde, at Log4j-sårbarheder udgør en alvorlig og vedvarende trussel mod organisationer og regeringer rundt om i verden
“Vi beder alle enheder om at tage øjeblikkelige foranstaltninger for at implementere den seneste afbødningsvejledning til beskytte deres netværk,” sagde Easterly. “Disse sårbarheder er de mest alvorlige, jeg har set i min karriere, og det er bydende nødvendigt, at vi arbejder sammen for at holde vores netværk sikre.”
Sikkerhed
Log4j-trussel:10 spørgsmål, du skal stille Apache frigiver ny 2.17.0-patch til Log4j, løser DoS-sårbarhed Politiet finder 225 millioner stjålne adgangskoder på en hacket server . Er din en af dem? Hvordan dette firma ikke betalte, da det blev ramt af ransomware De bedste VPN'er til små og hjemmebaserede virksomheder i 2021 Regering – Asien | Sikkerheds-tv | Datastyring | CXO | Datacentre