Aquatic Panda利用Log4Shell漏洞攻击学术机构

名为Aquatic Panda的网络犯罪分子是一个利用Log4Shell漏洞的最新高级持续威胁组织（APT）。

根据周三发布的研究报告，CrowdStrike Falcon OverWatch的研究人员最近在一次针对大型未公开学术机构的攻击中，在易受攻击的VMware安装上扰乱了使用Log4Shell漏洞利用工具的威胁参与者。

CrowdStrike报告的作者本杰明·威利（Benjamin Wiley）写道：“Aquatic Panda具有情报收集和工业间谍活动的双重使命。”Wiley表示，研究人员发现了与目标基础设施相关的可疑活动。“这导致OverWatch在日常操作期间寻找与VMware Horizon Tomcat Web服务器服务相关的异常子进程。”

研究人员表示，OverWatch迅速将该活动通知了组织，以便目标可以“开始他们的事件响应协议”。

CrowdStrike等安全公司一直在监测一个名为CVE-2021-44228（俗称Log4Shell）的漏洞的可疑活动，该漏洞于12月初在Apache的Log4j日志库中被发现，并立即受到攻击者的攻击。

不断扩大的攻击面

由于Log4Shell受到了广泛的使用，来自Microsoft、Apple、Twitter、CloudFlare和其他公司的许多常见基础设施产品都很容易地受到了攻击。研究人员表示，最近，VMware还发布了一项指南，指出其Horizon服务的某些组件容易受到Log4j攻击，这导致OverWatch将VMware Horizon Tomcat Web服务器服务添加到他们的进程监视列表中。

当威胁行为者在DNS [.]1433[.]eu[.]下通过DNS查找子域进行多重连接检查时，Falcon OverWatch团队注意到了Aquatic Panda的入侵，该子域在VMware Horizon实例上运行的Apache Tomcat服务下执行。

研究人员写道：“威胁行为者随后执行了一系列Linux命令，包括尝试使用包含硬编码的IP地址以及curl和wget命令执行基于bash的交互式shell，以检索托管在远程基础设施上的威胁行为工具。”

研究人员表示，这些命令是在Apache Tomcat服务下的Windows主机上执行的。他们说，他们对最初的活动进行了分类，并立即向受害组织发送了一个关键检测报告，随后直接与他们的安全团队分享了其他详细信息。

最终，研究人员评估说在威胁行为者的操作过程中可能使用了Log4j漏洞的修改版本，并且攻击中使用的基础设施与Aquatic Panda相关联。

跟踪攻击

他们说，OverWatch的研究人员在入侵期间密切跟踪了威胁行为者的活动，以便在学术机构遭到威胁行为攻击时安全管理员能够及时更新以缓解攻击带来的后果。

Aquatic Panda从主机进行侦察，使用本地操作系统二进制文件来了解当前的权限级别以及系统和域的详细信息。他们说，研究人员还观察到该组织试图发现并停止第三方端点检测和响应（EDR）服务。

攻击者下载了额外的脚本，然后通过PowerShell执行Base64编码的命令，从他们的工具包中检索恶意软件。他们还从远程基础设施中检索到了三个带有VBS文件扩展名的文件，然后对其进行解码。

研究人员写道：“根据可用的遥测数据，OverWatch认为这些文件可能构成了一个反向外壳，通过DLL搜索顺序劫持将其加载到内存中。”

Aquatic Panda最终通过使用“生活在陆地上的二进制文件”rdrleakdiag.exe和cdump.exe（createdump.exe重命名副本）转储LSASS进程的内存，多次尝试获取凭证。

研究人员写道：“在试图通过从ProgramData和Windows\temp\目录中删除所有可执行文件来掩盖他们的踪迹之前，威胁行为者使用了winRAR来压缩内存转储以准备渗漏。”

研究人员表示，受攻击组织最终修补了易受攻击的应用程序，从而阻止了Aquatic Panda对主机采取进一步操作，并阻止了攻击。

新的一年，同样的漏洞

随着2021年的结束，Log4Shell和开发的漏洞利用程序很可能会让攻击者将其用于恶意活动，从而将攻击带入新的一年。

“全球范围内围绕Log4j的讨论一直很激烈，它让许多组织都处于紧张状态，”OverWatch研究人员写道，“没有组织希望听到这种极具破坏性的漏洞可能会影响其自身。”

事实上，自本月早些时候被发现以来，该漏洞已经让很多组织和安全研究人员感到相当头疼。攻击者蜂拥而至到Log4Shell上，在漏洞首次被发现的24小时内生成了针对该漏洞创建的原始漏洞利用程序的60个变体。尽管Apache迅速采取行动修补了它，但修复的同时也带来了一些问题也带来了一些问题，从而产生了相关漏洞。

此外，Aquatic Panda也不是第一个认识到Log4Shell中漏洞利用机会的有组织的网络犯罪集团，也必然不会是最后一个。12月20日，总部位于俄罗斯的Conti勒索软件团伙以其复杂和凶残而闻名，成为第一个利用Log4Shell漏洞并将其武器化的专业犯罪软件组织，并创建了一个整体攻击链。

CrowdStrike敦促组织随着情况的发展随时了解可用于Log4Shell和整个Log4j漏洞的最新缓解措施。