قال CrowdStrike في تقرير جديد إنهم رأوا مجموعة مقرها الصين تبحث عن الملكية الفكرية من خلال Log4Shell.
اكتشفت شركة الأمن السيبراني CrowdStrike محاولة من قبل مجموعة مقرها الصين للتسلل إلى مؤسسة أكاديمية من خلال ثغرة Log4j .
أطلق CrowdStrike على المجموعة اسم "Aquatic Panda" وقالت إنها "خصم متطفل بمهمة مزدوجة لجمع المعلومات الاستخباراتية والتجسس الصناعي" والتي تعمل منذ مايو 2020 على الأقل.
النية الدقيقة للمجموعة غير معروفة لأن الهجوم تعطل. أخبر CrowdStrike ZDNet ، مع ذلك ، أن Aquatic Panda معروف بالحفاظ على المثابرة في البيئات للوصول إلى الملكية الفكرية والأسرار التجارية الصناعية الأخرى.
وأوضح CrowdStrike في تقرير: " ركزت عمليات Aquatic Panda بشكل أساسي على الكيانات في قطاعات الاتصالات والتكنولوجيا والحكومة" .
وفقًا لـ CrowdStrike ، كشف نظامهم "نشاطًا مشبوهًا ناجمًا عن عملية Tomcat التي تعمل تحت مثيل VMWare Horizon الضعيف في مؤسسة أكاديمية كبيرة ، مما يؤدي إلى تعطيل التدخل العملي النشط".
بعد مشاهدة المجموعة وهي تعمل وفحص القياس عن بعد المتاح ، قالت CrowdStrike إنها تعتقد أن نسخة معدلة من استغلال Log4j قد تم استخدامها على الأرجح أثناء عمليات ممثل التهديد.
اكتشف الفريق في CrowdStrike أن Aquatic Panda استخدم مشروع GitHub عام من 13 ديسمبر 2021 من أجل الوصول إلى مثيل VMWare Horizon الضعيف.
"واصلت Aquatic Panda استطلاعها من المضيف ، باستخدام ثنائيات نظام التشغيل الأصلية لفهم مستويات الامتياز الحالية بالإضافة إلى تفاصيل النظام والنطاق. كما لاحظ صائدو التهديدات OverWatch أيضًا محاولة اكتشاف وإيقاف خدمة الكشف عن نقطة النهاية والاستجابة (EDR) التابعة لجهة خارجية أوضحت الشركة.
"طوال عملية التطفل ، تتبعت OverWatch نشاط الجهة المسؤولة عن التهديد عن كثب من أجل توفير تحديثات مستمرة للمنظمة الضحية. واستنادًا إلى المعلومات الاستخبارية القابلة للتنفيذ التي قدمتها OverWatch ، تمكنت المنظمة الضحية من تنفيذ بروتوكول الاستجابة للحوادث بسرعة ، وفي النهاية تصحيح التطبيق الضعيف ومنع المزيد من نشاط الفاعل المهدد على المضيف ".
أخبر مسؤولو CrowdStrike ZDNet أنهم يرون جهات تهديد مختلفة داخل الصين وخارجها تستفيد من ثغرة Log4J ، مع خصوم يتراوحون من الجهات الفاعلة في التهديد المتقدمة إلى الجهات الفاعلة في eCrime.
قال CrowdStrike في مقابلة: "في النهاية ، ثبتت جدوى هذا الاستغلال جيدًا مع استمرار وجود سطح هجوم كبير. سنستمر في رؤية الجهات الفاعلة للتهديد تستفيد من هذه الثغرة الأمنية حتى يتم وضع جميع إجراءات التخفيف الموصى بها في مكانها الصحيح".
في الأسبوع الماضي ، أصدرت الولايات المتحدة والمملكة المتحدة وأستراليا ودول أخرى استشارة Log4j ردًا على "الاستغلال النشط في جميع أنحاء العالم من قبل العديد من الجهات الفاعلة في مجال التهديد ، بما في ذلك الجهات الفاعلة في مجال التهديد السيبراني".
مجموعات عديدة قد شهدت من كوريا الشمالية وإيران وتركيا والصين استغلال الضعف جنبا إلى جنب مع قائمة من الفدية الجماعات و المنظمات مجرمي الانترنت .
قال مدير CISA ، جين إيسترلي ، إن نقاط الضعف في Log4j تمثل تهديدًا خطيرًا ومستمرًا للمنظمات والحكومات في جميع أنحاء العالم
قال إيسترلي: "إننا نناشد جميع الكيانات اتخاذ إجراءات فورية لتنفيذ أحدث إرشادات التخفيف لحماية شبكاتها". "نقاط الضعف هذه هي الأشد خطورة التي رأيتها في حياتي المهنية ، ومن الضروري أن نعمل معًا للحفاظ على أمان شبكاتنا."
