Siber güvenlik şirketi Crowdstrike, Çin merkezli bir grup tarafından akademik bir kuruma sızma girişiminde bulundu. Log4J güvenlik açığı.
Crowdstrike, grubu “Aquatic Panda” olarak adlandırdı ve en az Mayıs 2020’den beri faaliyet gösteren “istihbarat toplama ve endüstriyel casusluk ikili misyonuna sahip bir grup” olduğunu söyledi.
Saldırı durdurulduğu için grubun kesin amacı bilinmiyor, ancak Crowdstrike ZDNet’e Aquatic Panda’nın fikri mülkiyete ve diğer endüstriyel ticari sırlara erişmek için ortamlarda kendisini korumasını sağlayan araçlar kullandığı biliniyor.
“Aquatic Panda’nın operasyonları esas olarak telekomünikasyon, teknoloji ve devlet sektörlerindeki varlıklara odaklanmıştır. Aquatic Panda, büyük ölçüde Cobalt Strike’a dayanmaktadır ve araç takımı, FishMaster adı altında benzersiz, iyi bilinen bir Cobalt Strike yükleyici içerir. Aquatic Panda ayrıca njRAT kötü amaçlı yazılımlarının hedeflere ulaştığı gözlemlendi ”dedi.
Crowdstrike’a göre, ekipleri “büyük bir akademik kurumda savunmasız bir VMWare Horizon örneği altında çalışan ve aktif bir izinsiz girişin sonlandırılmasına yol açan bir Tomcat sürecinden kaynaklanan şüpheli etkinlik” keşfetti.
Sete entegre Log4Shell
Grubu gözlemledikten ve telemetri verilerini inceledikten sonra CrowdStrike, Log4j istismarının değiştirilmiş bir sürümünün büyük olasılıkla kötü niyetli grubun operasyonları sırasında kullanıldığına inanıyor.
Crowdstrike ekibi, grubun savunmasız VMWare Horizon örneğine erişmek için 13 Aralık 2021 tarihli genel bir GitHub projesi kullandığını tespit etti.
“Aquatic Panda, mevcut ayrıcalık düzeylerinin yanı sıra sistem ve alan ayrıntılarını anlamak için yerel işletim sistemi ikili dosyalarını kullanarak ana bilgisayardan yeniden bağlanmaya devam etti.” OverWatch analistleri ayrıca bir üçüncü taraf Uç Nokta Keşfi ve Yanıt (EDR) hizmetini keşfetme ve durdurma girişimini de gözlemledi. OverWatch, ek komut dosyaları indiren ve ardından araç setindeki kötü amaçlı yazılımları almak için PowerShell aracılığıyla Base64 kodlu bir komut yürüten kötü niyetli aktörün kötü niyetli davranışını izlemeye devam etti ”dedi.
“İzinsiz giriş boyunca, OverWatch, kurban kuruluşa sürekli güncellemeler sağlamak için saldırganın etkinliğini yakından izledi. OverWatch tarafından sağlanan eyleme dönüştürülebilir istihbarata dayanarak, kurban kuruluş olay yanıt protokolünü hızla uygulayabildi ve sonuçta savunmasız olanları düzeltti. uygulama ve saldırganın ana bilgisayardaki daha fazla etkinliğini önledi. ”
Crowdstrike yetkilileri ZDNet’e, Çin’in içinde ve dışında farklı grupların Log4J güvenlik açığından yararlandığını gördüklerini ve düşmanların gelişmiş siber casusluk gruplarından daha yaygın siber suç gruplarına kadar uzandığını söyledi.
Bir röportajda, “Sonuçta, önemli bir saldırı yüzeyinin hala mevcut olmasıyla, bu açıktan yararlanmanın uygulanabilirliği kanıtlanmıştır. Oyuncuların bu güvenlik açığını, önerilen tüm azaltma önlemleri uygulanana kadar kullanmaya devam edeceğiz.” Dediler.
Güvenlik açıkları hafife alınmamalıdır
Geçen hafta Amerika Birleşik Devletleri, Birleşik Krallık, Avustralya ve diğer ülkeler Log4J’de bir inceleme yayınladı “çok sayıda kötü niyetli aktör tarafından aktif ve küresel sömürüye” yanıt olarak.
Nın-nin birçok grup Kuzey Kore, İran, Türkiye ve Çin’de bir dizi güvenlik açığından yararlandığı görüldü. fidye yazılımı.
ABD siber güvenlik dairesi müdürü Jen Easterly’ye göre, Log4j’deki güvenlik açıkları, dünya çapındaki kuruluşlar ve hükümetler için ciddi ve devam eden bir tehdit oluşturuyor.
Easterly, “Tüm kurumları ağlarını korumak için en son yönergeleri uygulamak için derhal harekete geçmeye çağırıyoruz.” Dedi. “Bu güvenlik açıkları kariyerimde gördüğüm en ciddi güvenlik açıkları ve ağlarımızı güvende tutmak için birlikte çalışmamız şart.”
Kaynak: “ZDNet.com”