一个名为AquaticPanda的网络犯罪分子是利用Log4Shell漏洞的最新高级持续性威胁组织(APT)。根据周三公布的研究,CrowdStrikeFalconOverWatch的研究人员在最近对一家大型未公开学术机构的攻击中,使用Log4Shell漏洞利用工具对易受攻击的VMware安装进行了破坏。“AquaticPanda具有情报收集和工业间谍活动的双重使命,”CrowdStrike报告的作者本杰明威利写道。威利表示,研究人员检测到与目标基础设施相关的可疑活动。“这导致OverWatch在日常操作中寻找与VMwareHorizo??nTomcatWeb服务器服务相关的异常子进程。”研究人员说,OverWatch迅速将活动通知了组织,以便目标可以“开始他们的事件响应协议”。CrowdStrike等安全公司一直在监控名为CVE-2021-44228(通常称为Log4Shell)的漏洞的可疑活动,该漏洞于12月初在Apache的Log4j日志库中被发现,并立即受到攻击者的攻击。扩大攻击面由于Log4Shell的广泛使用,Microsoft、Apple、Twitter、CloudFlare和其他公司的许多常见基础设施产品都容易受到攻击。最近,VMware还发布了一份指南,指出其Horizo??n服务的某些组件容易受到Log4j攻击,这导致OverWatch将VMwareHorizo??nTomcatWeb服务器服务添加到他们的进程监视列表中,研究人员表示。FalconOverWatch团队注意到AquaticPanda的入侵,当时威胁行为者通过DNS[.]1433[.]eu[.]下的DNS查找子域对运行在VMwareHorizo??n实例上的Apache在Tomcat服务下执行执行多个连接检查。研究人员写道:“威胁行为者随后执行了一系列Linux命令,包括尝试使用硬编码IP地址以及curl和wget命令执行基于bash的交互式shell,以检索托管在远程基础设施上的威胁行为。”工具。”据研究人员称,这些命令是在ApacheTomcat服务下的Windows主机上执行的。他们表示,他们对最初的活动进行了分类,并立即向受害组织发送了一份重要的检测报告,然后直接与他们的安全团队分享了更多细节。最终,研究人员评估,威胁行为者的操作过程中可能使用了Log4j漏洞的修改版本,并且攻击中使用的基础设施与AquaticPanda相关。跟踪攻击OverWatch研究人员密切跟踪威胁行为者在违规期间的活动,以便安全管理员可以在学术机构受到攻击时更新和减轻后果,他们说。AquaticPanda从主机进行侦察,使用本地操作系统二进制文件来了解当前的权限级别以及系统和域的详细信息。他们说,研究人员还观察到该组织试图发现并阻止第三方端点检测和响应(EDR)服务。攻击者下载了额外的脚本,然后通过PowerShell执行Base64编码的命令以从他们的工具包中检索恶意软件。他们还从远程基础设施中检索了三个文件扩展名为VBS的文件并对其进行了解码。“根据可用的遥测数据,OverWatch认为这些文件可能构成通过DLL搜索顺序劫持加载到内存中的反向shell,”研究人员写道。“rdrleakdiag.exe和cdump.exe(createdump.exe的重命名副本)转储LSASS进程的内存,多次尝试获取凭据。“威胁行为者使用winRAR压缩内存转储,为渗出做准备,然后再尝试通过从ProgramData和Windows\temp\目录中删除所有可执行文件来掩盖他们的踪迹,”研究人员写道,受攻击的组织最终修补了易受攻击的应用程序,阻止AquaticPanda对主机采取进一步行动并停止攻击。新的一年,同样的漏洞随着2021年接近尾声,Log4Shell和开发的漏洞很可能允许攻击者利用它进行恶意活动,将攻击带入新的一年。“围绕Log4j的全球讨论一直很激烈,许多组织都处于紧张状态,”OverWatch研究人员写道。“没有组织愿意听到这样一个毁灭性的漏洞会影响到自己。”事实从表面上看,自本月早些时候发现该漏洞以来,它已经让许多组织和安全研究人员非常头疼。攻击者涌向Log4Shell,在该漏洞首次被发现后的24小时内生成了60个针对该漏洞创建的原始漏洞利用的变体。虽然Apache迅速采取行动对其进行了修补,但该修复也带来了一些问题,从而产生了相关漏洞。此外,AquaticPanda不是第一个认识到Log4Shell漏洞利用机会的有组织网络犯罪集团,也不会是最后一个。12月20日,总部位于俄罗斯、以狡猾凶猛着称的Conti勒索软件团伙成为首个利用Log4Shell漏洞并武器化并打造全攻击链的专业犯罪软件团伙。CrowdStrike敦促组织随时了解可用于Log4Shell的最新缓解措施以及随着情况的发展整体Log4j漏洞。本文翻译自:https://threatpost.com/aquatic-panda-log4shell-exploit-tools/177312/如有转载请注明原文地址。
