名為Aquatic Panda的網(wǎng)絡(luò)犯罪分子是一個(gè)利用Log4Shell漏洞的最新高級(jí)持續(xù)威脅組織(APT)。

根據(jù)周三發(fā)布的研究報(bào)告，CrowdStrike Falcon OverWatch的研究人員最近在一次針對(duì)大型未公開(kāi)學(xué)術(shù)機(jī)構(gòu)的攻擊中，在易受攻擊的VMware安裝上擾亂了使用Log4Shell漏洞利用工具的威脅參與者。

CrowdStrike報(bào)告的作者本杰明·威利(Benjamin Wiley)寫(xiě)道：“Aquatic Panda具有情報(bào)收集和工業(yè)間諜活動(dòng)的雙重使命。”Wiley表示，研究人員發(fā)現(xiàn)了與目標(biāo)基礎(chǔ)設(shè)施相關(guān)的可疑活動(dòng)。“這導(dǎo)致OverWatch在日常操作期間尋找與VMware Horizon Tomcat Web服務(wù)器服務(wù)相關(guān)的異常子進(jìn)程。”

研究人員表示，OverWatch迅速將該活動(dòng)通知了組織，以便目標(biāo)可以“開(kāi)始他們的事件響應(yīng)協(xié)議”。

CrowdStrike等安全公司一直在監(jiān)測(cè)一個(gè)名為CVE-2021-44228(俗稱Log4Shell)的漏洞的可疑活動(dòng)，該漏洞于12月初在Apache的Log4j日志庫(kù)中被發(fā)現(xiàn)，并立即受到攻擊者的攻擊。

不斷擴(kuò)大的攻擊面

由于Log4Shell受到了廣泛的使用，來(lái)自Microsoft、Apple、Twitter、CloudFlare和其他公司的許多常見(jiàn)基礎(chǔ)設(shè)施產(chǎn)品都很容易地受到了攻擊。研究人員表示，最近，VMware還發(fā)布了一項(xiàng)指南，指出其Horizon服務(wù)的某些組件容易受到Log4j攻擊，這導(dǎo)致OverWatch將VMware Horizon Tomcat Web服務(wù)器服務(wù)添加到他們的進(jìn)程監(jiān)視列表中。

當(dāng)威脅行為者在DNS [.]1433[.]eu[.]下通過(guò)DNS查找子域進(jìn)行多重連接檢查時(shí)，F(xiàn)alcon OverWatch團(tuán)隊(duì)注意到了Aquatic Panda的入侵，該子域在VMware Horizon實(shí)例上運(yùn)行的Apache Tomcat服務(wù)下執(zhí)行。

研究人員寫(xiě)道：“威脅行為者隨后執(zhí)行了一系列Linux命令，包括嘗試使用包含硬編碼的IP地址以及curl和wget命令執(zhí)行基于bash的交互式shell，以檢索托管在遠(yuǎn)程基礎(chǔ)設(shè)施上的威脅行為工具。”

研究人員表示，這些命令是在Apache Tomcat服務(wù)下的Windows主機(jī)上執(zhí)行的。他們說(shuō)，他們對(duì)最初的活動(dòng)進(jìn)行了分類，并立即向受害組織發(fā)送了一個(gè)關(guān)鍵檢測(cè)報(bào)告，隨后直接與他們的安全團(tuán)隊(duì)分享了其他詳細(xì)信息。

最終，研究人員評(píng)估說(shuō)在威脅行為者的操作過(guò)程中可能使用了Log4j漏洞的修改版本，并且攻擊中使用的基礎(chǔ)設(shè)施與Aquatic Panda相關(guān)聯(lián)。

跟蹤攻擊

他們說(shuō)，OverWatch的研究人員在入侵期間密切跟蹤了威脅行為者的活動(dòng)，以便在學(xué)術(shù)機(jī)構(gòu)遭到威脅行為攻擊時(shí)安全管理員能夠及時(shí)更新以緩解攻擊帶來(lái)的后果。

Aquatic Panda從主機(jī)進(jìn)行偵察，使用本地操作系統(tǒng)二進(jìn)制文件來(lái)了解當(dāng)前的權(quán)限級(jí)別以及系統(tǒng)和域的詳細(xì)信息。他們說(shuō)，研究人員還觀察到該組織試圖發(fā)現(xiàn)并停止第三方端點(diǎn)檢測(cè)和響應(yīng)(EDR)服務(wù)。

攻擊者下載了額外的腳本，然后通過(guò)PowerShell執(zhí)行Base64編碼的命令，從他們的工具包中檢索惡意軟件。他們還從遠(yuǎn)程基礎(chǔ)設(shè)施中檢索到了三個(gè)帶有VBS文件擴(kuò)展名的文件，然后對(duì)其進(jìn)行解碼。

研究人員寫(xiě)道：“根據(jù)可用的遙測(cè)數(shù)據(jù)，OverWatch認(rèn)為這些文件可能構(gòu)成了一個(gè)反向外殼，通過(guò)DLL搜索順序劫持將其加載到內(nèi)存中。”

Aquatic Panda最終通過(guò)使用“生活在陸地上的二進(jìn)制文件”rdrleakdiag.exe和cdump.exe(createdump.exe重命名副本)轉(zhuǎn)儲(chǔ)LSASS進(jìn)程的內(nèi)存，多次嘗試獲取憑證。

研究人員寫(xiě)道：“在試圖通過(guò)從ProgramData和Windows\temp\目錄中刪除所有可執(zhí)行文件來(lái)掩蓋他們的蹤跡之前，威脅行為者使用了winRAR來(lái)壓縮內(nèi)存轉(zhuǎn)儲(chǔ)以準(zhǔn)備滲漏。”

研究人員表示，受攻擊組織最終修補(bǔ)了易受攻擊的應(yīng)用程序，從而阻止了Aquatic Panda對(duì)主機(jī)采取進(jìn)一步操作，并阻止了攻擊。

新的一年，同樣的漏洞

隨著2021年的結(jié)束，Log4Shell和開(kāi)發(fā)的漏洞利用程序很可能會(huì)讓攻擊者將其用于惡意活動(dòng)，從而將攻擊帶入新的一年。

“全球范圍內(nèi)圍繞Log4j的討論一直很激烈，它讓許多組織都處于緊張狀態(tài)，”OverWatch研究人員寫(xiě)道，“沒(méi)有組織希望聽(tīng)到這種極具破壞性的漏洞可能會(huì)影響其自身。”

事實(shí)上，自本月早些時(shí)候被發(fā)現(xiàn)以來(lái)，該漏洞已經(jīng)讓很多組織和安全研究人員感到相當(dāng)頭疼。攻擊者蜂擁而至到Log4Shell上，在漏洞首次被發(fā)現(xiàn)的24小時(shí)內(nèi)生成了針對(duì)該漏洞創(chuàng)建的原始漏洞利用程序的60個(gè)變體。盡管Apache迅速采取行動(dòng)修補(bǔ)了它，但修復(fù)的同時(shí)也帶來(lái)了一些問(wèn)題也帶來(lái)了一些問(wèn)題，從而產(chǎn)生了相關(guān)漏洞。

此外，Aquatic Panda也不是第一個(gè)認(rèn)識(shí)到Log4Shell中漏洞利用機(jī)會(huì)的有組織的網(wǎng)絡(luò)犯罪集團(tuán)，也必然不會(huì)是最后一個(gè)。12月20日，總部位于俄羅斯的Conti勒索軟件團(tuán)伙以其復(fù)雜和兇殘而聞名，成為第一個(gè)利用Log4Shell漏洞并將其武器化的專業(yè)犯罪軟件組織，并創(chuàng)建了一個(gè)整體攻擊鏈。

CrowdStrike敦促組織隨著情況的發(fā)展隨時(shí)了解可用于Log4Shell和整個(gè)Log4j漏洞的最新緩解措施。

本文翻譯自：https://threatpost.com/aquatic-panda-log4shell-exploit-tools/177312/如若轉(zhuǎn)載，請(qǐng)注明原文地址。