Un gruppo di hacker cinese noto per lo spionaggio industriale e la raccolta di informazioni ha utilizzato una vulnerabilità in Log4j per andare dopo una grande istituzione accademica, i ricercatori di CrowdStrike hanno rivelato mercoledì.
Gli analisti delle minacce hanno osservato il gruppo tentare di installare malware dopo aver ottenuto l'accesso utilizzando una versione modificata di un exploit Log4j per VMWare Horizon, una tecnologia di spazio di lavoro virtuale. CrowdStrike ha anche osservato gli hacker cinesi cercare di raccogliere le credenziali per un ulteriore sfruttamento.
Gli analisti di CrowdStrike ritengono che il gruppo dietro l'attacco, che sta chiamando "Aquatic Panda", è stato probabilmente attivo almeno dal maggio 2020. Le sue operazioni si sono concentrate principalmente su obiettivi nei settori delle telecomunicazioni, della tecnologia e del governo.
"Poiché OverWatch ha interrotto l'attacco prima che AQUATIC PANDA potesse agire sui loro obiettivi, il loro esatto intento è sconosciuto", ha scritto Param Singh, vice presidente di CrowdStrike OverWatch, a CyberScoop in una e-mail. "Questo avversario, tuttavia, è noto per utilizzare strumenti per mantenere la persistenza negli ambienti in modo che possano ottenere l'accesso alla proprietà intellettuale e altri segreti commerciali industriali".
CrowdStrike non ha nominato l'istituzione che Aquatic Panda ha preso di mira, o la sua posizione.
I ricercatori di Mandiant e Microsoft hanno anche segnalato l'attività di gruppi di minaccia cinesi che sfruttano la vulnerabilità Log4j. Microsoft ha osservato attacchi da parte del gruppo cinese, "HAFNIUM", utilizzando la vulnerabilità contro le infrastrutture di virtualizzazione. Microsoft ha anche avvertito di attacchi che utilizzano la vulnerabilità da gruppi legati a Iran, Corea del Nord e Turchia.
Log4j è uno strumento software open-source onnipresente in tutta l'industria tecnologica e può essere trovato in milioni di sistemi, rendendo l'intero ambito delle vittime potenziali difficile da tracciare. I criminali informatici hanno corso per approfittare della vulnerabilità quando è stata rivelata all'inizio di questo mese, il che significa che anche se le organizzazioni hanno patchato i loro sistemi, gli attaccanti potrebbero aver già stabilito un punto d'appoggio.
L'Agenzia per la sicurezza informatica e infrastrutturale del Dipartimento della Sicurezza Nazionale il 22 dicembre ha emesso un avviso su come affrontare i potenziali rischi per i servizi IT e cloud che la vulnerabilità pone.
Posta un commento
Condividi la tua opinione nel rispetto degli altri. Link e materiale non pertinente sarà eliminato.