名為Aquatic Panda的網絡犯罪分子是一個利用Log4Shell漏洞的最新高級持續威脅組織(APT)。

根據周三發布的研究報告，CrowdStrike Falcon OverWatch的研究人員最近在一次針對大型未公開學術機構的攻擊中，在易受攻擊的VMware安裝上擾亂了使用Log4Shell漏洞利用工具的威脅參與者。

CrowdStrike報告的作者本杰明·威利(Benjamin Wiley)寫道：“Aquatic Panda具有情報收集和工業間諜活動的雙重使命。”Wiley表示，研究人員發現了與目標基礎設施相關的可疑活動。“這導致OverWatch在日常操作期間尋找與VMware Horizon Tomcat Web服務器服務相關的異常子進程。”

研究人員表示，OverWatch迅速將該活動通知了組織，以便目標可以“開始他們的事件響應協議”。

CrowdStrike等安全公司一直在監測一個名為CVE-2021-44228(俗稱Log4Shell)的漏洞的可疑活動，該漏洞于12月初在Apache的Log4j日志庫中被發現，并立即受到攻擊者的攻擊。

不斷擴大的攻擊面

由于Log4Shell受到了廣泛的使用，來自Microsoft、Apple、Twitter、CloudFlare和其他公司的許多常見基礎設施產品都很容易地受到了攻擊。研究人員表示，最近，VMware還發布了一項指南，指出其Horizon服務的某些組件容易受到Log4j攻擊，這導致OverWatch將VMware Horizon Tomcat Web服務器服務添加到他們的進程監視列表中。

當威脅行為者在DNS [.]1433[.]eu[.]下通過DNS查找子域進行多重連接檢查時，Falcon OverWatch團隊注意到了Aquatic Panda的入侵，該子域在VMware Horizon實例上運行的Apache Tomcat服務下執行。

研究人員寫道：“威脅行為者隨后執行了一系列Linux命令，包括嘗試使用包含硬編碼的IP地址以及curl和wget命令執行基于bash的交互式shell，以檢索托管在遠程基礎設施上的威脅行為工具。”

研究人員表示，這些命令是在Apache Tomcat服務下的Windows主機上執行的。他們說，他們對最初的活動進行了分類，并立即向受害組織發送了一個關鍵檢測報告，隨后直接與他們的安全團隊分享了其他詳細信息。

最終，研究人員評估說在威脅行為者的操作過程中可能使用了Log4j漏洞的修改版本，并且攻擊中使用的基礎設施與Aquatic Panda相關聯。

跟蹤攻擊

他們說，OverWatch的研究人員在入侵期間密切跟蹤了威脅行為者的活動，以便在學術機構遭到威脅行為攻擊時安全管理員能夠及時更新以緩解攻擊帶來的后果。

Aquatic Panda從主機進行偵察，使用本地操作系統二進制文件來了解當前的權限級別以及系統和域的詳細信息。他們說，研究人員還觀察到該組織試圖發現并停止第三方端點檢測和響應(EDR)服務。

攻擊者下載了額外的腳本，然后通過PowerShell執行Base64編碼的命令，從他們的工具包中檢索惡意軟件。他們還從遠程基礎設施中檢索到了三個帶有VBS文件擴展名的文件，然后對其進行解碼。

研究人員寫道：“根據可用的遙測數據，OverWatch認為這些文件可能構成了一個反向外殼，通過DLL搜索順序劫持將其加載到內存中。”

Aquatic Panda最終通過使用“生活在陸地上的二進制文件”rdrleakdiag.exe和cdump.exe(createdump.exe重命名副本)轉儲LSASS進程的內存，多次嘗試獲取憑證。

研究人員寫道：“在試圖通過從ProgramData和Windows\temp\目錄中刪除所有可執行文件來掩蓋他們的蹤跡之前，威脅行為者使用了winRAR來壓縮內存轉儲以準備滲漏。”

研究人員表示，受攻擊組織最終修補了易受攻擊的應用程序，從而阻止了Aquatic Panda對主機采取進一步操作，并阻止了攻擊。

新的一年，同樣的漏洞

隨著2021年的結束，Log4Shell和開發的漏洞利用程序很可能會讓攻擊者將其用于惡意活動，從而將攻擊帶入新的一年。

“全球范圍內圍繞Log4j的討論一直很激烈，它讓許多組織都處于緊張狀態，”OverWatch研究人員寫道，“沒有組織希望聽到這種極具破壞性的漏洞可能會影響其自身。”

事實上，自本月早些時候被發現以來，該漏洞已經讓很多組織和安全研究人員感到相當頭疼。攻擊者蜂擁而至到Log4Shell上，在漏洞首次被發現的24小時內生成了針對該漏洞創建的原始漏洞利用程序的60個變體。盡管Apache迅速采取行動修補了它，但修復的同時也帶來了一些問題也帶來了一些問題，從而產生了相關漏洞。

此外，Aquatic Panda也不是第一個認識到Log4Shell中漏洞利用機會的有組織的網絡犯罪集團，也必然不會是最后一個。12月20日，總部位于俄羅斯的Conti勒索軟件團伙以其復雜和兇殘而聞名，成為第一個利用Log4Shell漏洞并將其武器化的專業犯罪軟件組織，并創建了一個整體攻擊鏈。

CrowdStrike敦促組織隨著情況的發展隨時了解可用于Log4Shell和整個Log4j漏洞的最新緩解措施。

本文翻譯自：https://threatpost.com/aquatic-panda-log4shell-exploit-tools/177312/如若轉載，請注明原文地址。