El grupo de ciberespionaje vinculado a China conocido como Aquatic Panda ha sido descubierto recientemente explotando la vulnerabilidad Log4Shell para irrumpir en una gran institución académica.
Según el último informe del equipo Falcon OverWatch de CrowdStrike, el adversario utilizó una versión modificada del exploit Log4Shell (publicado inicialmente en GitHub el 13 de diciembre) para obtener acceso a la instancia de VMware Horizon que empleaba la vulnerable biblioteca Log4j en una institución académica.
El propósito del ataque es desconocido porque la intrusión fue frustrada.
"OverWatch descubrió actividad sospechosa derivada de un proceso de Tomcat que se ejecuta bajo una instancia vulnerable de VMware Horizon en una gran institución académica, lo que lleva a la interrupción de una intrusión práctica activa", dijo el equipo.
El actor de amenazas realizó comprobaciones de conectividad a través de búsquedas DNS para un subdominio ejecutado bajo el servicio Apache Tomcat que se ejecuta en la instancia de VMware Horizon. Luego, los atacantes ejecutaron una serie de comandos de Linux en un host de Windows bajo el servicio Apache Tomcat para recuperar herramientas adicionales alojadas en infraestructura remota.
Aquatic Panda realizó un reconocimiento desde el anfitrión para comprender mejor los niveles de privilegios actuales y los detalles del sistema y el dominio. El adversario también intentó descubrir y detener un servicio de detección y respuesta de endpoints (EDR) de terceros.
Luego, los piratas informáticos descargaron scripts adicionales y ejecutaron un comando codificado en Base64 a través de PowerShell para recuperar malware de su kit de herramientas. El equipo de OverWatch también observó múltiples intentos de recolección de credenciales. El actor de amenazas usó winRAR para comprimir el volcado de memoria en preparación para la exfiltración y eliminó todos los ejecutables de los directorios ProgramData y Windows\temp\ para cubrir sus pistas.
"Sobre la base de la inteligencia procesable proporcionada por OverWatch, la organización víctima pudo implementar rápidamente su protocolo de respuesta a incidentes, eventualmente parcheando la aplicación vulnerable y evitando una mayor actividad de actores de amenazas en el host", dijo CrowdStrike.
AQUATIC PANDA en posesión de log4Shell Exploit Tools | CrowdStrike
