Ein noch nie dagewesener, in China ansässiger Angreifer mit dem Namen Aquatic Panda wurde dabei beobachtet, wie er kritische Schwachstellen in der Apache Log4j-Protokollierungsbibliothek als Zugriffsvektor nutzt, um verschiedene Operationen nach der Ausbeutung durchzuführen, einschließlich der Erkundung und des Sammelns von Zugangsdaten auf den Zielsystemen.
Nach Angaben der Cybersecurity-Firma CrowdStrike zielte die Infiltration, die letztlich vereitelt wurde, auf eine ungenannte “große akademische Einrichtung”. Es wird angenommen, dass die staatlich gesponserte Gruppe seit Mitte 2020 mit dem Ziel der Informationsbeschaffung und Industriespionage operiert, wobei sich ihre Angriffe hauptsächlich gegen Unternehmen in den Bereichen Telekommunikation, Technologie und Regierung richten.
[Blocked Image: https://thehackernews.com/images/-b2ieWo0PeVw/YVHQq_NfHwI/AAAAAAAA4Z8/HinmNVyVOAAZK64q2-sVib6EEXsbg6HCQCLcBGAsYHQ/s728-e100/rewind-2-728.png]
Bei dem versuchten Eindringen wurde die neu entdeckte Log4Shell-Schwachstelle (CVE-2021-44228, CVSS-Score: 10.0) ausgenutzt, um Zugriff auf eine anfällige Instanz des Desktop- und Anwendungsvirtualisierungsprodukts VMware Horizon zu erhalten. Anschließend wurde eine Reihe bösartiger Befehle ausgeführt, die so orchestriert waren, dass sie Nutzdaten von Bedrohungsakteuren abrufen konnten, die auf einem Remote-Server gehostet wurden.
“Eine modifizierte Version des Log4j-Exploits wurde wahrscheinlich im Verlauf der Operationen des Bedrohungsakteurs verwendet”, so die Forscher, und fügten hinzu, dass ein Exploit verwendet wurde, der am 13. Dezember 2021 auf GitHub veröffentlicht wurde.
Das böswillige Verhalten von Aquatic Panda ging über die Erkundung des kompromittierten Hosts hinaus und begann mit dem Versuch, einen EDR-Dienst (Endpoint Detection and Response) eines Drittanbieters zu stoppen, bevor er mit dem Abrufen von Nutzdaten der nächsten Stufe fortfuhr, um eine Reverse Shell zu erhalten und Anmeldeinformationen zu sammeln.
Nachdem die betroffene Organisation auf den Vorfall aufmerksam gemacht wurde, war sie jedoch in der Lage, ihr Protokoll zur Reaktion auf den Vorfall schnell umzusetzen, die anfällige Anwendung zu patchen und weitere Aktivitäten von Bedrohungsakteuren auf dem Host zu verhindern. In Anbetracht der erfolgreichen Unterbrechung des Angriffs bleibt die genaue Absicht unbekannt.
Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com