Penjahat
Cyber, di bawah moniker Aquatic Panda, adalah kelompok ancaman persisten canggih (APT) terbaru untuk mengeksploitasi kerentanan Log4Shell.

Peneliti dari CrowdStrike Falcon OverWatch baru-baru ini mengganggu pelaku ancaman menggunakan alat eksploitasi Log4Shell pada instalasi VMware yang rentan selama serangan yang melibatkan sebuah institusi akademik besar yang dirahasiakan, menurut penelitian yang dirilis Wednesday.

“Panda Akuatik adalah [APT] yang berbasis di China dengan misi ganda pengumpulan intelijen dan spionase industri,” tulis Benjamin Wiley, penulis laporan CrowdStrike. Wiley mengatakan para peneliti menemukan aktivitas mencurigakan yang terkait dengan infrastruktur target. “Ini membuat OverWatch mencari proses anak yang tidak biasa yang terkait dengan layanan server web VMware Horizon Tomcat selama operasi rutin,” tulisnya.

OverWatch dengan cepat memberi tahu organisasi tentang aktivitas tersebut sehingga target dapat “memulai protokol respons insiden mereka,” kata para peneliti.

CrowdStrike, di antara perusahaan keamanan lainnya, telah memantau aktivitas mencurigakan di sekitar kerentanan yang dilacak sebagai CVE-2021-44228 dan bahasa sehari-hari dikenal sebagai Log4Shell yang ditemukan di perpustakaan logging Apache Log4j pada awal Desember dan segera ditetapkan oleh penyerang.

Ever-Widening Menyerang Surface

Karena penggunaannya di mana-mana, banyak produk infrastruktur umum dari Microsoft, Apple, Twitter, CloudFlare, dan lainnya rentan terhadap serangan Log4Shell. Baru-baru ini, VMware juga mengeluarkan panduan bahwa beberapa komponen layanan Horizonnya rentan terhadap eksploitasi Log4j, membuat OverWatch menambahkan layanan server web VMware Horizon Tomcat ke daftar proses untuk ditonton, kata para peneliti.

Tim Falcon OverWatch memperhatikan Aquatic Panda intrusi ketika aktor ancaman melakukan beberapa pemeriksaan konektivitas melalui pencarian DNS untuk subdomain di bawah dns[.]1433[.]eu[.]org, dieksekusi di bawah layanan Apache Tomcat yang berjalan pada instance VMware Horizon, tulis mereka di post.

“Aktor ancaman kemudian mengeksekusi serangkaian perintah Linux, termasuk mencoba mengeksekusi shell interaktif berbasis bash dengan alamat IP yang di-hardcode serta perintah curl dan wget untuk mengambil alat aktor ancaman yang dihosting di infrastruktur jarak jauh,” tulis para peneliti .

Perintah dijalankan pada host Windows di bawah layanan Apache Tomcat, kata para peneliti. Mereka melakukan triase aktivitas awal dan segera mengirimkan deteksi kritis ke organisasi korban, kemudian membagikan detail tambahan secara langsung dengan tim keamanan mereka, kata mereka.

Akhirnya, para peneliti menilai bahwa versi modifikasi dari eksploitasi Log4j kemungkinan digunakan selama ancaman berlangsung. operasi pelaku, dan bahwa infrastruktur yang digunakan dalam serangan tersebut terkait dengan Panda Akuatik, kata mereka.

Melacak Serangan

OverWatch peneliti melacak aktivitas pelaku ancaman dengan cermat selama penyusupan untuk memberikan pembaruan berkelanjutan kepada institusi akademik saat administrator keamanannya bergegas untuk mengurangi serangan, kata mereka.

Aquatic Panda terlibat dalam pengintaian dari host, menggunakan binari OS asli untuk memahami tingkat hak istimewa saat ini serta detail sistem dan domain. Para peneliti juga mengamati upaya kelompok menemukan dan menghentikan layanan deteksi dan respons titik akhir (EDR) pihak ketiga, kata mereka.

Pelaku ancaman mengunduh skrip tambahan dan kemudian menjalankan perintah yang disandikan Base64 melalui PowerShell untuk mengambil malware dari toolkit mereka. Mereka juga mengambil tiga file dengan ekstensi file VBS dari infrastruktur jarak jauh, yang kemudian mereka decode.

“Berdasarkan telemetri yang tersedia, OverWatch yakin file-file ini kemungkinan merupakan cangkang terbalik, yang dimuat ke dalam memori melalui pembajakan pencarian DLL,” para peneliti write.

Aquatic Panda akhirnya melakukan beberapa upaya untuk memanen kredensial dengan membuang memori proses LSASS menggunakan binari living-off-the-land rdrleakdiag.exe dan cdump.exe, salinan yang diubah namanya menjadi Createdump.exe.

“Aktor ancaman yang digunakan winRAR untuk mengompresi dump memori dalam persiapan untuk eksfiltrasi sebelum mencoba menutupi jejak mereka dengan menghapus semua yang dapat dieksekusi dari direktori ProgramData dan Windowstemp,” tulis para peneliti.

Organisasi korban akhirnya menambal aplikasi yang rentan, yang mencegah tindakan lebih lanjut dari Aquatic Panda pada host dan menghentikan serangan, kata peneliti.

Tahun Baru, Eksploitasi Sama

Saat 2021 berakhir e, kemungkinan Log4Shell dan eksploitasi dikembangkan sehingga penyerang dapat menggunakannya untuk aktivitas jahat akan membawa gangguan mereka ke tahun baru.

“Diskusi secara global seputar Log4j telah intens, membuat banyak organisasi gelisah,” tulis peneliti OverWatch. “Tidak ada organisasi yang ingin mendengar tentang kerentanan yang berpotensi merusak yang mempengaruhi jaringannya.”

Memang, kelemahan tersebut telah membuat pusing organisasi dan peneliti keamanan sejak penemuannya awal bulan ini. Penyerang segera melompat ke Log4Shell, menelurkan 60 varian eksploit asli yang dibuat untuk cacat dalam periode 24 jam saat pertama kali terungkap. Meskipun Apache bergerak cepat untuk menambalnya, perbaikannya juga menjadi masalah, menciptakan kerentanannya sendiri.

Selain itu, Aquatic Panda juga bukan kelompok kejahatan dunia maya terorganisir pertama yang mengenali peluang untuk mengeksploitasi Log4Shell, dan kemungkinan besar bukan yang terakhir. Pada 20 Desember, geng ransomware Conti yang berbasis di Rusia—dikenal karena kecanggihan dan kekejamannya—menjadi kelompok crimeware profesional pertama yang mengadopsi dan mempersenjatai kerentanan Log4Shell dengan menciptakan rantai serangan holistik.

CrowdStrike mendesak organisasi untuk tetap mengikuti perkembangan mitigasi terbaru yang tersedia untuk Log4Shell dan kerentanan Log4j secara keseluruhan seiring dengan perkembangan situasi.