Китайская хак-группа Aquatic Panda использует Log4Shell для взлома учебных заведений - «Новости» » Интернет технологии
sitename
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Китайская хак-группа Aquatic Panda использует Log4Shell для взлома учебных заведений - «Новости»

Специалисты ИБ-компании CrowdStrike предупреждают: китайская кибершпионская хак-группа Aquatic Panda, замечена в использовании уязвимости Log4Shell, с помощью которой было скомпрометировано крупное академическое заведение.


Напомню, что уязвимость CVE-2021-44228, которую также называют Log4Shell и LogJam, была обнаружена в популяр­ной биб­лиоте­ке жур­налиро­вания Log4j в начале декабря.


Исследователи сообщают, что Aquatic Panda использует модифицированную версию эксплоита для бага в Log4j для получения первоначального доступа к целевой системе, а затем выполняет различные постэксплуатационные операции, включая разведку и сбор учетных данных.


Пытаясь скомпрометировать неназванное учебное заведение, хакеры нацелились на VMware Horizon, где использовалась уязвимая библиотека Log4j. Эксплоит, использованный в этой атаке, был опубликован на GitHub 13 декабря 2021 года.


В отчете CrowdStrike сказано, что злоумышленники выполнили проверку подключения с помощью lookup’ов DNS для поддомена, запущенного на VMware Horizon, в рамках Apache Tomcat. Затем группировка выполнила ряд Linux-команд на хосте Windows, где работала служба Apache Tomcat, включая направленные на развертывание вредоносных инструментов, размещенных в удаленной инфраструктуре.


Также атакующие провели разведку, пытаясь лучше понять уровни привилегий и узнать больше о домене, а также попытались прервать работу стороннего решения для обнаружения угроз на конечных точек и реагирования на них.


После развертывания дополнительных скриптов хакеры попытались выполнить команды PowerShell для извлечения малвари и трех файлов VBS, которые, похоже, представляли собой реверс-шеллы. Кроме того, Aquatic Panda предприняла несколько попыток сбора учетных данных, выполнив дампы памяти и подготовив их к краже.


Эксперты пишут, что атакованная организация была вовремя предупреждена о подозрительной активности и сумела быстро задействовать протокол реагирования на инциденты, исправив уязвимое ПО и предотвратив дальнейшее развитие вредоносной активности.



Группировка Aquatic Panda активна как минимум с мая 2020 года и обычно занимается сбором разведданных и промышленным шпионажем, нацеливаясь на организации в государственном, телекоммуникационном и технологическом секторах. Набор инструментов группы включает в себя Cobalt Strike, загрузчик FishMaster и njRAT.



Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Специалисты ИБ-компании CrowdStrike предупреждают: китайская кибершпионская хак-группа Aquatic Panda, замечена в использовании уязвимости Log4Shell, с помощью которой было скомпрометировано крупное академическое заведение. Напомню, что уязвимость CVE-2021-44228, которую также называют Log4Shell и LogJam, была обнаружена в популяр­ной биб­лиоте­ке жур­налиро­вания Log4j в начале декабря. Исследователи сообщают, что Aquatic Panda использует модифицированную версию эксплоита для бага в Log4j для получения первоначального доступа к целевой системе, а затем выполняет различные постэксплуатационные операции, включая разведку и сбор учетных данных. Пытаясь скомпрометировать неназванное учебное заведение, хакеры нацелились на VMware Horizon, где использовалась уязвимая библиотека Log4j. Эксплоит, использованный в этой атаке, был опубликован на GitHub 13 декабря 2021 года. В отчете CrowdStrike сказано, что злоумышленники выполнили проверку подключения с помощью lookup’ов DNS для поддомена, запущенного на VMware Horizon, в рамках Apache Tomcat. Затем группировка выполнила ряд Linux-команд на хосте Windows, где работала служба Apache Tomcat, включая направленные на развертывание вредоносных инструментов, размещенных в удаленной инфраструктуре. Также атакующие провели разведку, пытаясь лучше понять уровни привилегий и узнать больше о домене, а также попытались прервать работу стороннего решения для обнаружения угроз на конечных точек и реагирования на них. После развертывания дополнительных скриптов хакеры попытались выполнить команды PowerShell для извлечения малвари и трех файлов VBS, которые, похоже, представляли собой реверс-шеллы. Кроме того, Aquatic Panda предприняла несколько попыток сбора учетных данных, выполнив дампы памяти и подготовив их к краже. Эксперты пишут, что атакованная организация была вовремя предупреждена о подозрительной активности и сумела быстро задействовать протокол реагирования на инциденты, исправив уязвимое ПО и предотвратив дальнейшее развитие вредоносной активности. Группировка Aquatic Panda активна как минимум с мая 2020 года и обычно занимается сбором разведданных и промышленным шпионажем, нацеливаясь на организации в государственном, телекоммуникационном и технологическом секторах. Набор инструментов группы включает в себя Cobalt Strike, загрузчик FishMaster и njRAT.
CSS
запостил(а)
Young
Вернуться назад

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: