APT ‘Aquatic Panda’ zielt mit Log4Shell-Exploit-Tools auf Universitäten

  • Forscher von CrowdStrike haben einen Versuch der Bedrohungsgruppe vereitelt, Industrie- und Militärgeheimnisse aus einer akademischen Einrichtung zu stehlen.

    Cyberkriminelle, die unter dem Namen Aquatic Panda auftreten, sind die jüngste Advanced Persistent Threat Group (APT), die die Log4Shell-Schwachstelle ausnutzt.

    Forscher von CrowdStrike Falcon OverWatch haben kürzlich die Bedrohungsakteure gestört, die Log4Shell-Exploit-Tools auf einer verwundbaren VMware-Installation während eines Angriffs auf eine große, nicht genannte akademische Einrichtung verwendeten, so die am Mittwoch veröffentlichten Forschungsergebnisse.

    “Aquatic Panda ist ein in China ansässiges [APT] mit einer doppelten Aufgabe, nämlich der Sammlung von Informationen und der Industriespionage”, schrieb Benjamin Wiley, der Autor des CrowdStrike-Berichts.

    Wiley sagte, dass die Forscher die verdächtigen Aktivitäten im Zusammenhang mit der Infrastruktur des Ziels aufdeckten. “Dies veranlasste OverWatch dazu, während des Routinebetriebs nach ungewöhnlichen untergeordneten Prozessen zu suchen, die mit dem Webserverdienst VMware Horizon Tomcat verbunden sind”, schrieb er.

    OverWatch benachrichtigte das Unternehmen schnell über die Aktivitäten, so dass das Zielunternehmen “mit seinem Incident-Response-Protokoll beginnen konnte”, so die Forscher.

    CrowdStrike und andere Sicherheitsfirmen haben verdächtige Aktivitäten im Zusammenhang mit einer Sicherheitslücke beobachtet, die als CVE-2021-44228 bezeichnet wird und umgangssprachlich als Log4Shell bekannt ist. Diese Sicherheitslücke wurde Anfang Dezember in der Protokollierungsbibliothek Apache Log4j gefunden und sofort von Angreifern genutzt.

    Immer größer werdende Angriffsfläche

    Aufgrund ihrer allgegenwärtigen Verwendung sind viele gängige Infrastrukturprodukte von Microsoft, Apple, Twitter, CloudFlare und anderen für Log4Shell-Angriffe anfällig. Kürzlich hat auch VMware eine Anleitung herausgegeben, dass einige Komponenten seines Horizon-Dienstes für Log4j-Exploits anfällig sind, was OverWatch dazu veranlasst hat, den VMware Horizon Tomcat-Webserverdienst zu seiner Liste der zu überwachenden Prozesse hinzuzufügen, so die Forscher.

    Das Falcon OverWatch-Team bemerkte den Aquatic Panda-Eindringling, als der Bedrohungsakteur mehrere Konnektivitätsprüfungen über DNS-Lookups für eine Subdomain unter dns[.]1433[.]eu[.]org, ausgeführt unter dem Apache Tomcat-Dienst, der auf der VMware Horizon-Instanz läuft, schreiben sie in dem Beitrag.

    “Der Bedrohungsakteur führte dann eine Reihe von Linux-Befehlen aus, einschließlich des Versuchs, eine interaktive Shell auf Bash-Basis mit einer fest kodierten IP-Adresse sowie die Befehle curl und wget auszuführen, um Tools des Bedrohungsakteurs abzurufen, die auf einer entfernten Infrastruktur gehostet werden”, schreiben die Forscher.

    Die Befehle wurden auf einem Windows-Host unter dem Apache Tomcat-Dienst ausgeführt, so die Forscher. Sie untersuchten die anfängliche Aktivität und schickten sofort eine kritische Erkennung an die Opferorganisation, die später weitere Details direkt mit ihrem Sicherheitsteam teilte, so die Forscher.

    Schließlich stellten die Forscher fest, dass eine modifizierte Version des Log4j-Exploits wahrscheinlich im Verlauf der Operationen des Bedrohungsakteurs verwendet wurde und dass die bei dem Angriff verwendete Infrastruktur mit Aquatic Panda in Verbindung steht, sagten sie.

    Nachverfolgung des Angriffs

    Die Forscher von OverWatch verfolgten die Aktivitäten des Bedrohungsakteurs während des Eindringens genau, um die akademische Einrichtung mit kontinuierlichen Updates zu versorgen, während sich die Sicherheitsadministratoren bemühten, den Angriff zu entschärfen, sagten sie.

    Aquatic Panda erkundete den Host mit Hilfe nativer Betriebssystem-Binärdateien, um die aktuellen Berechtigungsstufen sowie System- und Domänendetails zu verstehen. Die Forscher beobachteten auch, wie die Gruppe versuchte, einen EDR-Dienst (Endpoint Detection and Response) eines Drittanbieters zu entdecken und zu stoppen.

    Die Bedrohungsakteure luden weitere Skripte herunter und führten dann einen Base64-kodierten Befehl über PowerShell aus, um Malware aus ihrem Toolkit abzurufen. Außerdem riefen sie drei Dateien mit VBS-Dateierweiterungen von der Remote-Infrastruktur ab, die sie anschließend entschlüsselten.

    “Auf der Grundlage der verfügbaren Telemetriedaten geht OverWatch davon aus, dass es sich bei diesen Dateien wahrscheinlich um eine Reverse Shell handelt, die über DLL-Suchreihenfolge-Hijacking in den Speicher geladen wurde”, schreiben die Forscher.

    Aquatic Panda unternahm schließlich mehrere Versuche, Anmeldeinformationen abzugreifen, indem er den Speicher des LSASS-Prozesses mit Hilfe der “living-off-the-land”-Binärdateien rdrleakdiag.exe und cdump.exe, einer umbenannten Kopie von createdump.exe, auslagerte.

    “Der Akteur der Bedrohung verwendete winRAR, um den Speicherauszug zu komprimieren und so die Exfiltration vorzubereiten, bevor er versuchte, seine Spuren zu verwischen, indem er alle ausführbaren Dateien aus den Verzeichnissen ProgramData und Windowstemp löschte”, schreiben die Forscher.

    Die Opferorganisation hat die verwundbare Anwendung schließlich gepatcht, was weitere Aktionen von Aquatic Panda auf dem Host verhindert und den Angriff gestoppt hat, so die Forscher.

    Neues Jahr, gleiches Exploit

    Da sich das Jahr 2021 dem Ende zuneigt, ist es wahrscheinlich, dass Log4Shell und Exploits, die so entwickelt wurden, dass Angreifer sie für schändliche Aktivitäten nutzen können, auch im neuen Jahr ihre Wirkung nicht verfehlen werden.

    “Die weltweite Diskussion um Log4j war intensiv und hat viele Unternehmen verunsichert”, schreiben die OverWatch-Forscher. “Keine Organisation möchte von einer solch potenziell zerstörerischen Schwachstelle in ihren Netzwerken hören.”

    In der Tat hat die Schwachstelle seit ihrer Entdeckung Anfang des Monats bereits für erhebliches Kopfzerbrechen bei Unternehmen und Sicherheitsforschern gleichermaßen gesorgt. Angreifer stürzten sich sofort auf Log4Shell und brachten innerhalb von 24 Stunden nach Bekanntwerden der Schwachstelle 60 Varianten des ursprünglichen Exploits in Umlauf. Obwohl Apache schnell einen Patch für die Schwachstelle bereitstellte, erwies sich auch dieser als problematisch, da er eine eigene Schwachstelle schuf.

    Darüber hinaus ist Aquatic Panda nicht die erste organisierte Cybercrime-Gruppe, die die Gelegenheit zur Ausnutzung von Log4Shell erkannt hat, und wahrscheinlich wird es auch nicht die letzte sein. Am 20. Dezember wurde die in Russland ansässige Conti-Ransomware-Bande, die für ihre Raffinesse und Skrupellosigkeit bekannt ist, zur ersten professionellen Crimeware-Gruppe, die die Log4Shell-Schwachstelle mit der Erstellung einer ganzheitlichen Angriffskette übernommen und als Waffe eingesetzt hat.

    CrowdStrike rät Unternehmen dringend, sich über die neuesten Abhilfemaßnahmen zu informieren, die für Log4Shell und die allgemeinen Log4j-Schwachstellen verfügbar sind, während sich die Situation weiterentwickelt.

    Informieren Sie sich über unsere kommenden kostenlosen Live- und On-Demand-Online-Townhalls – einzigartige, dynamische Diskussionen mit Cybersicherheitsexperten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com