名為Aquatic Panda的網(wǎng)絡(luò)犯罪分子是一個利用Log4Shell漏洞的最新高級持續(xù)威脅組織(APT)。

根據(jù)周三發(fā)布的研究報告，CrowdStrike Falcon OverWatch的研究人員最近在一次針對大型未公開學(xué)術(shù)機構(gòu)的攻擊中，在易受攻擊的VMware安裝上擾亂了使用Log4Shell漏洞利用工具的威脅參與者。

CrowdStrike報告的作者本杰明·威利(Benjamin Wiley)寫道：“Aquatic Panda具有情報收集和工業(yè)間諜活動的雙重使命。”Wiley表示，研究人員發(fā)現(xiàn)了與目標(biāo)基礎(chǔ)設(shè)施相關(guān)的可疑活動。“這導(dǎo)致OverWatch在日常操作期間尋找與VMware Horizon Tomcat Web服務(wù)器服務(wù)相關(guān)的異常子進程。”

研究人員表示，OverWatch迅速將該活動通知了組織，以便目標(biāo)可以“開始他們的事件響應(yīng)協(xié)議”。

CrowdStrike等安全公司一直在監(jiān)測一個名為CVE-2021-44228(俗稱Log4Shell)的漏洞的可疑活動，該漏洞于12月初在Apache的Log4j日志庫中被發(fā)現(xiàn)，并立即受到攻擊者的攻擊。

不斷擴大的攻擊面

由于Log4Shell受到了廣泛的使用，來自Microsoft、Apple、Twitter、CloudFlare和其他公司的許多常見基礎(chǔ)設(shè)施產(chǎn)品都很容易地受到了攻擊。研究人員表示，最近，VMware還發(fā)布了一項指南，指出其Horizon服務(wù)的某些組件容易受到Log4j攻擊，這導(dǎo)致OverWatch將VMware Horizon Tomcat Web服務(wù)器服務(wù)添加到他們的進程監(jiān)視列表中。

當(dāng)威脅行為者在DNS [.]1433[.]eu[.]下通過DNS查找子域進行多重連接檢查時，F(xiàn)alcon OverWatch團隊注意到了Aquatic Panda的入侵，該子域在VMware Horizon實例上運行的Apache Tomcat服務(wù)下執(zhí)行。

研究人員寫道：“威脅行為者隨后執(zhí)行了一系列Linux命令，包括嘗試使用包含硬編碼的IP地址以及curl和wget命令執(zhí)行基于bash的交互式shell，以檢索托管在遠程基礎(chǔ)設(shè)施上的威脅行為工具。”

研究人員表示，這些命令是在Apache Tomcat服務(wù)下的Windows主機上執(zhí)行的。他們說，他們對最初的活動進行了分類，并立即向受害組織發(fā)送了一個關(guān)鍵檢測報告，隨后直接與他們的安全團隊分享了其他詳細信息。

最終，研究人員評估說在威脅行為者的操作過程中可能使用了Log4j漏洞的修改版本，并且攻擊中使用的基礎(chǔ)設(shè)施與Aquatic Panda相關(guān)聯(lián)。

跟蹤攻擊

他們說，OverWatch的研究人員在入侵期間密切跟蹤了威脅行為者的活動，以便在學(xué)術(shù)機構(gòu)遭到威脅行為攻擊時安全管理員能夠及時更新以緩解攻擊帶來的后果。

Aquatic Panda從主機進行偵察，使用本地操作系統(tǒng)二進制文件來了解當(dāng)前的權(quán)限級別以及系統(tǒng)和域的詳細信息。他們說，研究人員還觀察到該組織試圖發(fā)現(xiàn)并停止第三方端點檢測和響應(yīng)(EDR)服務(wù)。

攻擊者下載了額外的腳本，然后通過PowerShell執(zhí)行Base64編碼的命令，從他們的工具包中檢索惡意軟件。他們還從遠程基礎(chǔ)設(shè)施中檢索到了三個帶有VBS文件擴展名的文件，然后對其進行解碼。

研究人員寫道：“根據(jù)可用的遙測數(shù)據(jù)，OverWatch認為這些文件可能構(gòu)成了一個反向外殼，通過DLL搜索順序劫持將其加載到內(nèi)存中。”

Aquatic Panda最終通過使用“生活在陸地上的二進制文件”rdrleakdiag.exe和cdump.exe(createdump.exe重命名副本)轉(zhuǎn)儲LSASS進程的內(nèi)存，多次嘗試獲取憑證。

研究人員寫道：“在試圖通過從ProgramData和Windows\temp\目錄中刪除所有可執(zhí)行文件來掩蓋他們的蹤跡之前，威脅行為者使用了winRAR來壓縮內(nèi)存轉(zhuǎn)儲以準(zhǔn)備滲漏。”

研究人員表示，受攻擊組織最終修補了易受攻擊的應(yīng)用程序，從而阻止了Aquatic Panda對主機采取進一步操作，并阻止了攻擊。

新的一年，同樣的漏洞

隨著2021年的結(jié)束，Log4Shell和開發(fā)的漏洞利用程序很可能會讓攻擊者將其用于惡意活動，從而將攻擊帶入新的一年。

“全球范圍內(nèi)圍繞Log4j的討論一直很激烈，它讓許多組織都處于緊張狀態(tài)，”OverWatch研究人員寫道，“沒有組織希望聽到這種極具破壞性的漏洞可能會影響其自身。”

事實上，自本月早些時候被發(fā)現(xiàn)以來，該漏洞已經(jīng)讓很多組織和安全研究人員感到相當(dāng)頭疼。攻擊者蜂擁而至到Log4Shell上，在漏洞首次被發(fā)現(xiàn)的24小時內(nèi)生成了針對該漏洞創(chuàng)建的原始漏洞利用程序的60個變體。盡管Apache迅速采取行動修補了它，但修復(fù)的同時也帶來了一些問題也帶來了一些問題，從而產(chǎn)生了相關(guān)漏洞。

此外，Aquatic Panda也不是第一個認識到Log4Shell中漏洞利用機會的有組織的網(wǎng)絡(luò)犯罪集團，也必然不會是最后一個。12月20日，總部位于俄羅斯的Conti勒索軟件團伙以其復(fù)雜和兇殘而聞名，成為第一個利用Log4Shell漏洞并將其武器化的專業(yè)犯罪軟件組織，并創(chuàng)建了一個整體攻擊鏈。

CrowdStrike敦促組織隨著情況的發(fā)展隨時了解可用于Log4Shell和整個Log4j漏洞的最新緩解措施。

本文翻譯自：https://threatpost.com/aquatic-panda-log4shell-exploit-tools/177312/如若轉(zhuǎn)載，請注明原文地址。