Jonathan Greig Staff Writer
Jonathan Greig er journalist basert i New York City.
Full Bio 29. desember 2021 | Emne: Sikkerhet
Sybersikkerhetsselskapet CrowdStrike har oppdaget et forsøk fra en Kina-basert gruppe på å infiltrere en akademisk institusjon gjennom Log4j-sårbarheten.
CrowdStrike kalte gruppen «Aquatic Panda» og sa at den er en «inntrengningsmotstander med et dobbelt oppdrag med etterretningsinnsamling og industrispionasje» som har operert siden minst mai 2020.
Gruppens eksakte hensikt er ukjent fordi angrepet ble forstyrret. CrowdStrike fortalte imidlertid til ZDNet at Aquatic Panda er kjent for å opprettholde utholdenhet i miljøer for å få tilgang til åndsverk og andre industrielle forretningshemmeligheter.
“Aquatic Panda-operasjoner har primært fokusert på enheter innen telekommunikasjon, teknologi, og offentlige sektorer,” forklarte CrowdStrike i en rapport.
I følge CrowdStrike avdekket systemet deres “mistenkelig aktivitet som stammer fra en Tomcat-prosess som kjører under en sårbar VMWare Horizon-forekomst ved en stor akademisk institusjon, noe som førte til avbrudd av en aktiv praktisk inntrenging.”
Etter å ha sett gruppen opererer og undersøker den tilgjengelige telemetrien, sa CrowdStrike at de tror at en modifisert versjon av Log4j-utnyttelsen sannsynligvis ble brukt i løpet av trusselaktørens operasjoner.
Teamet på CrowdStrike oppdaget at Aquatic Panda brukte et offentlig GitHub-prosjekt fra 13. desember 2021 for å få tilgang til den sårbare forekomsten av VMWare Horizon.
“Aquatic Panda fortsatte sin rekognosering fra verten ved å bruke native OS-binærfiler for å forstå gjeldende privilegienivåer samt system- og domenedetaljer. OverWatch-trusseljegere observerte også et forsøk på å oppdage og stoppe et tredjeparts endepunkt deteksjons- og responstjeneste (EDR),” forklarte selskapet.
“Gjennom hele inntrengingen fulgte OverWatch trusselaktørens aktivitet nøye for å gi kontinuerlige oppdateringer til offerorganisasjonen. Basert på handlingsvennlig etterretning fra OverWatch, var offerorganisasjonen i stand til raskt å implementere sin protokoll for respons på hendelser, og til slutt lappet den sårbare applikasjonen. og forhindrer ytterligere trusselaktøraktivitet på verten.”
CrowdStrike-tjenestemenn fortalte ZDNet at de ser forskjellige trusselaktører både i og utenfor Kina utnytte Log4J-sårbarheten, med motstandere som spenner fra avanserte trusselaktører til eCrime-aktører .
“Til slutt er levedyktigheten til denne utnyttelsen godt bevist med en betydelig angrepsoverflate som fortsatt er til stede. Vi vil fortsette å se trusselaktører som bruker denne sårbarheten inntil alle anbefalte avbøtende tiltak er satt på plass,” sa CrowdStrike i et intervju.
I forrige uke utstedte USA, Storbritannia, Australia og andre land en Log4j-rådgivning som svar på «aktiv, verdensomspennende utnyttelse av en rekke trusselaktører, inkludert ondsinnede aktører på nettrussel».
Tallrike grupper fra Nord-Korea, Iran, Tyrkia og Kina har blitt sett utnytte sårbarheten sammen med en rekke løsepengevaregrupper og nettkriminelle organisasjoner.
CISA-direktør Jen Easterly sa Log4j-sårbarheter utgjør en alvorlig og pågående trussel mot organisasjoner og myndigheter rundt om i verden
“Vi ber alle enheter om å iverksette umiddelbare tiltak for å implementere de siste veiledningene for avbøtende tiltak. beskytte nettverkene deres,” sa Easterly. “Disse sårbarhetene er de mest alvorlige jeg har sett i min karriere, og det er viktig at vi jobber sammen for å holde nettverkene våre trygge.”
Sikkerhet
Log4j-trussel:10 spørsmål du må stille Apache lanserer ny 2.17.0-oppdatering for Log4j, løser DoS-sårbarhet Politiet finner 225 millioner stjålne passord på en hacket server . Er din en av dem? Hvordan dette selskapet ikke betalte når det ble rammet av løsepengevare De beste VPN-ene for små og hjemmebaserte virksomheter i 2021 Regjeringen – Asia | Sikkerhets-TV | Databehandling | CXO | Datasentre