Especialistas da empresa de segurança da informação CrowdStrike alertam: o grupo chinês de hackers de espionagem cibernética Aquatic Panda usa as vulnerabilidades do Log4Shell, com a ajuda da qual uma grande instituição educacional foi comprometida.
Deixe-me lembrá-lo que o CVE-2021-44228 vulnerabilidade, também chamado de Log4Shell e LogJam, foi descoberto na popular biblioteca de registro Log4j no início de dezembro.
Os pesquisadores relatam que o Aquatic Panda usa uma versão modificada do exploit para um bug no Log4j para obter acesso inicial ao sistema de destino e, em seguida, executa várias atividades pós-exploração., incluindo exploração e coleta de credenciais.
Para comprometer uma instituição educacional sem nome, os hackers atacaram o VMware Horizon, que usou a biblioteca Log4j vulnerável. A exploração usada neste ataque foi publicada no GitHub em dezembro 13, 2021.
Os invasores também realizaram esforços de reconhecimento para entender melhor os níveis de privilégio e aprender mais sobre o domínio. Também, eles tentaram interromper uma solução de detecção e resposta a ameaças de endpoint de terceiros.
Depois de implantar scripts adicionais, os hackers tentaram executar comandos do PowerShell para extrair o malware e três arquivos VBS, que pareciam ser conchas reversas. Além disso, Aquatic Panda fez várias tentativas de coletar credenciais realizando despejos de memória e preparando-as para roubo.
Especialistas escrevem que a organização atacada foi avisada em tempo hábil sobre atividades suspeitas e poderia usar rapidamente o protocolo de resposta a incidentes, corrigindo software vulnerável e impedindo o desenvolvimento de atividades maliciosas.
O grupo Aquatic Panda está ativo pelo menos desde maio 2020 e normalmente se envolve na coleta de informações e espionagem industrial, visando organizações do governo, telecomunicações, e setores de tecnologia. A caixa de ferramentas do grupo inclui Cobalt Strike, Descarregador FishMaster, e njRAT.
Deixe-me também lembrá-lo que eu escrevi isso Vulnerabilidade Log4j ameaça 35,000 Pacotes Java, assim como isso Outra vulnerabilidade encontrada no Log4j, desta vez é uma negação de serviço.
