名叫Aquatic Panda的互联网犯罪分子是一个利用Log4Shell系统漏洞的全新高級不断威胁机构(APT)。
依据周三公布的调查报告,CrowdStrike Falcon OverWatch的分析工作人员近期在一次对于大中型对外公布学术研究组织的伤害中,在易受攻击的VMware安裝上搅乱了应用Log4Shell系统漏洞利用专用工具的威胁参加者。
CrowdStrike汇报的作者本杰明·威利(Benjamin Wiley)写到:“Aquatic Panda具备情报信息搜集和工业生产情报活动的双向重任。”Wiley表明,科学研究工作人员发觉了与总体目标基础设施建设有关的异常主题活动。“这造成OverWatch在日常实际操作期内找寻与VMware Horizon Tomcat Web服务端服务项目有关的出现异常子过程。”
科学研究工作员表明,OverWatch快速将该活动简报了机构,便于总体目标可以“逐渐她们的事情回应协议书”。
CrowdStrike等安全性企业一直在检测一个名叫CVE-2021-44228(别名Log4Shell)的系统漏洞的异常主题活动,该系统漏洞于12月初在Apache的Log4j日志库中被发觉,并马上遭受网络攻击的进攻。
不断扩大的攻击面
因为Log4Shell遭受了普遍的应用,来源于Microsoft、Apple、Twitter、CloudFlare和其它企业的很多普遍基础设施建设商品都非常容易地得到了进攻。科学研究工作员表明,近期,VMware还公布了一项手册,强调其Horizon服务的一些部件非常容易遭受Log4j进攻,这造成OverWatch将VMware Horizon Tomcat Web服务端服务项目加上到她们的过程监控目录中。
当威胁个人行为者在DNS [.]1433[.]eu[.]下根据DNS搜索子域名开展多种联接查验时,Falcon OverWatch团队留意到了Aquatic Panda的侵入,该子域名在VMware Horizon案例上运转的Apache Tomcat服务项目下实行。
科学研究工作人员写到:“威胁个人行为者接着实行了一系列Linux指令,包含试着应用包括硬编码的IP地址及其curl和wget指令实行根据bash的互动式shell,以查找代管在远程控制基础设施建设上的威胁个人行为专用工具。”
科学研究工作员表明,这种指令是在Apache Tomcat服务项目下的Windows服务器上实行的。她们说,她们对最开始的行动完成了归类,并马上向被害机构推送了一个重要检验报告,接着立即与许多人的安全性精英团队共享了别的详细资料。
最后,科学研究工作人员评定说在威胁个人行为者的实际操作中将会应用了Log4j系统漏洞的改动版本号,而且进攻中采用的基础建设与Aquatic Panda密切相关。
追踪进攻
她们说,OverWatch的分析员工在侵入期内紧密追踪了威胁个人行为者的主题活动,便于在学术研究组织遭受威胁个人行为进攻时专职安全员可以按时升级以减轻进攻产生的不良影响。
Aquatic Panda从服务器开展侦查,应用当地电脑操作系统二进制文件来掌握当下的管理权限等级及其系统软件和域的详细资料。她们说,科学研究工作人员还留意到该机构尝试发觉并终止第三方节点检验和回应(EDR)服务项目。
网络攻击安装了附加的脚本制作,随后根据PowerShell实行Base64编号的指令,从她们的工具箱中查找恶意程序。她们还从远程控制基础设施建设中查找到了三个含有VBS文件扩展名的文档,随后对它进行编解码。
科学研究工作人员写到:“依据可以用的监测数据信息,OverWatch觉得这种文档很有可能组成了一个反方向机壳,根据DLL检索次序挟持将其载入到运存中。”
Aquatic Panda最后根据应用“日常生活在地面上的二进制文件”rdrleakdiag.exe和cdump.exe(createdump.exe重新命名团本)存贮LSASS过程的运行内存,多次试着获得凭据。
科学研究工作人员写到:“在尝试根据从ProgramData和Windows\temp\文件目录中删掉全部可执行程序来遮盖她们的足迹以前,威胁个人行为者应用了winRAR来缩小运行内存存贮以提前准备漏水。”
科学研究工作员表明,受进攻机构最后修复了易受攻击的应用软件,进而阻拦了Aquatic Panda对服务器采用进一步实际操作,并阻拦了进攻。
新的一年,一样的系统漏洞
伴随着2021年的完毕,Log4Shell和研发的系统漏洞利用程序流程很可能会让网络攻击将其用以故意主题活动,进而将进攻带到新的一年。
“全世界范畴内紧紧围绕Log4j的探讨一直很猛烈,它让很多机构都处在过度紧张,”OverWatch科学研究工作人员写到,“沒有机构期待听见这类具有毁灭性的缺陷很有可能会影响到其本身。”
实际上,自当月稍早被发觉至今,该系统漏洞早已让许多机构和安全性科研工作人员觉得非常头痛。网络攻击纷至沓来到Log4Shell上,在系统漏洞初次被看到的24钟头内转化成了对于该系统漏洞建立的初始系统漏洞利用程序流程的60个组合。虽然Apache快速付诸行动修复了它,但修补的并且也提供了一些问题也带来了一些问题,进而造成了有关系统漏洞。
除此之外,Aquatic Panda也不是第一个了解到Log4Shell中系统漏洞利用机遇的有结构的互联网犯罪团伙,也肯定不容易是最后一个。12月20日,总公司设在俄国的Conti勒索病毒犯罪团伙以其繁杂和残暴而出名,变成第一个利用Log4Shell系统漏洞并将其武器化的技术专业违法犯罪手机软件机构,并创立了一个总体攻击链。
CrowdStrike督促机构伴随着情形的发展趋势随时随地掌握可用以Log4Shell和全部Log4j系统漏洞的全新减轻对策。
文中翻譯自:https://threatpost.com/aquatic-panda-log4shell-exploit-tools/177312/倘若转截,请标明全文详细地址。