Jonathan Greig Staff Writer
Jonathan Greig är journalist baserad i New York City.
Fullständig bio den 29 december 2021 | Ämne: Säkerhet
Cybersäkerhetsföretaget CrowdStrike har upptäckt ett försök från en Kina-baserad grupp att infiltrera en akademisk institution genom sårbarheten Log4j.
CrowdStrike kallade gruppen “Aquatic Panda” och sa att det är en “intrångsmotståndare med ett dubbelt uppdrag av underrättelseinsamling och industrispionage” som har verkat sedan åtminstone maj 2020.
Gruppens exakta avsikt är okänd eftersom attacken avbröts. CrowdStrike berättade dock för ZDNet att Aquatic Panda är känt för att upprätthålla uthållighet i miljöer för att få tillgång till immateriella rättigheter och andra industriella affärshemligheter.
“Aquatic Pandas verksamhet har främst fokuserat på enheter inom telekommunikation, teknologi, och statliga sektorer”, förklarade CrowdStrike i en rapport.
Enligt CrowdStrike avslöjade deras system “misstänkt aktivitet som härrörde från en Tomcat-process som kördes under en sårbar VMWare Horizon-instans på en stor akademisk institution, vilket ledde till störningar av ett aktivt praktiskt intrång.”
Efter att ha sett gruppen driver och undersöker den tillgängliga telemetrin, CrowdStrike sa att de tror att en modifierad version av Log4j-exploateringen troligen användes under hotaktörens verksamhet.
Teamet på CrowdStrike upptäckte att Aquatic Panda använde ett offentligt GitHub-projekt från 13 december 2021 för att få tillgång till den sårbara instansen av VMWare Horizon.
“Aquatic Panda fortsatte sin spaning från värden och använde inbyggda OS-binärfiler för att förstå aktuella privilegienivåer samt system- och domändetaljer. OverWatch-hotjägare observerade också ett försök att upptäcka och stoppa en tredje parts slutpunkt detektions- och svarstjänst (EDR)”, förklarade företaget.
“Under hela intrånget spårade OverWatch hotaktörens aktivitet noggrant för att ge kontinuerliga uppdateringar till offrets organisation. Baserat på den handlingsbara intelligensen från OverWatch kunde offerorganisationen snabbt implementera sitt incidentresponsprotokoll och så småningom patcha den sårbara applikationen och förhindrar ytterligare hotaktörsaktivitet på värden.”
CrowdStrike-tjänstemän sa till ZDNet att de ser olika hotaktörer både inom och utanför Kina som utnyttjar Log4J-sårbarheten, med motståndare som sträcker sig från avancerade hotaktörer till e-brottsaktörer .
“I slutändan är lönsamheten för denna exploatering väl beprövad med en betydande attackyta som fortfarande finns kvar. Vi kommer att fortsätta att se hotaktörer som använder sig av denna sårbarhet tills alla rekommenderade begränsningar har införts”, sa CrowdStrike i en intervju.
Förra veckan utfärdade USA, Storbritannien, Australien och andra länder en Log4j-rådgivning som svar på “aktivt, globalt utnyttjande av många hotaktörer, inklusive skadliga cyberhotaktörer.”
Många grupper från Nordkorea, Iran, Turkiet och Kina har setts utnyttja sårbarheten tillsammans med en rad ransomware-grupper och cyberkriminella organisationer.
CISA-direktör Jen Easterly sa att Log4j-sårbarheter utgör ett allvarligt och pågående hot mot organisationer och regeringar runt om i världen
“Vi ber alla enheter att vidta omedelbara åtgärder för att implementera de senaste riktlinjerna för begränsning av skydda sina nätverk”, sa Easterly. “Dessa sårbarheter är de allvarligaste som jag har sett i min karriär, och det är absolut nödvändigt att vi arbetar tillsammans för att hålla våra nätverk säkra.”
Säkerhet
Log4j-hot:10 frågor du behöver ställa Apache släpper ny 2.17.0 patch för Log4j, löser DoS-sårbarhet Polisen hittar 225 miljoner stulna lösenord på en hackad server . Är din en av dem? Hur detta företag inte betalade när det drabbades av ransomware De bästa VPN:erna för små och hembaserade företag 2021 Regering – Asien | Säkerhets-TV | Datahantering | CXO | Datacenter