APT China Targetkan Institusi Akademik Pakai Eksploitasi Log4Shell

APT China Targetkan Institusi Akademik - Aquatic Panda, musuh intrusi bertarget berbasis di China yang belum pernah terlihat sebelumnya, telah terlihat menggunakan kelemahan parah di perpustakaan logging Apache Log4j sebagai vektor akses untuk melakukan berbagai tindakan pasca-eksploitasi pada sistem yang ditargetkan, termasuk pengintaian dan pengambilan kredensial.

CrowdStrike, sebuah perusahaan keamanan siber, mengklaim peretasan itu diarahkan pada "lembaga akademik utama" yang dirahasiakan. Pakaian yang disponsori negara dikatakan telah aktif sejak pertengahan 2020, terutama menargetkan perusahaan-perusahaan di sektor telekomunikasi, teknologi, dan pemerintah dalam pencarian intelijen dan spionase industri.

Upaya penyusupan memanfaatkan kelemahan Log4Shell yang baru ditemukan (CVE-2021-44228, skor CVSS: 10.0) untuk mendapatkan akses ke instance rentan dari desktop VMware Horizon dan produk virtualisasi aplikasi, kemudian menjalankan serangkaian perintah jahat yang diatur untuk diambil muatan aktor ancaman yang dihosting di server jauh.

Esploitasi Log4j

"Versi modifikasi dari eksploitasi Log4j kemungkinan besar digunakan selama operasi aktor ancaman," kata para peneliti, menambahkan bahwa itu melibatkan penggunaan serangan yang dirilis di GitHub pada 13 Desember 2021.

Perilaku jahat APT Aquatic Panda melampaui pengintaian host yang disusupi, pertama-tama mencoba menonaktifkan layanan deteksi dan respons titik akhir (EDR) pihak ketiga sebelum mengambil muatan tahap berikutnya yang bertujuan untuk mendapatkan cangkang terbalik dan mengumpulkan kredensial.

Namun, setelah diberitahu tentang insiden tersebut, organisasi korban "dapat segera menerapkan metodologi respons insiden mereka, akhirnya menambal aplikasi yang rentan dan memblokir aktivitas aktor ancaman di masa depan di host." Tujuan yang tepat dari serangan itu tetap tidak pasti mengingat interupsi efektifnya.