Home Ciberguerra Ciberdelincuentes chinos utilizaron el exploit Log4Shell para atacar a una institución académica

Ciberdelincuentes chinos utilizaron el exploit Log4Shell para atacar a una institución académica

Se ha observado a un adversario de intrusión dirigida con base en China, apodado Aquatic Panda, que ha aprovechado los fallos críticos de la biblioteca de registro Apache Log4j como vector de acceso para realizar varias operaciones posteriores a la explotación, incluyendo el reconocimiento y la recolección de credenciales en los sistemas objetivo.

La empresa de ciberseguridad CrowdStrike dijo que la infiltración, que finalmente fue frustrada, estaba dirigida a una “gran institución académica” no identificada. Se cree que el grupo patrocinado por el estado ha estado operando desde mediados de 2020 en la búsqueda de la recolección de inteligencia y el espionaje industrial, con sus ataques dirigidos principalmente contra las empresas en los sectores de telecomunicaciones, tecnología y gobierno.

El intento de intrusión explotó el fallo Log4Shell recientemente descubierto (CVE-2021-44228, puntuación CVSS: 10,0) para obtener acceso a una instancia vulnerable del producto de virtualización de escritorios y aplicaciones VMware Horizon, seguido de la ejecución de una serie de comandos maliciosos orquestados para obtener cargas útiles de actores de amenazas alojadas en un servidor remoto.

El comportamiento malicioso de Aquatic Panda fue más allá de llevar a cabo el reconocimiento del host comprometido, comenzando por hacer un esfuerzo para detener un servicio de detección y respuesta de puntos finales (EDR) de terceros, antes de proceder a recuperar las cargas útiles de la siguiente etapa diseñadas para obtener una shell inversa y cosechar credenciales.

Pero después de que la organización víctima fue alertada del incidente, la entidad “fue capaz de implementar rápidamente su protocolo de respuesta a incidentes, eventualmente parcheando la aplicación vulnerable y previniendo más actividad de actores de amenazas en el host”. A la luz de la exitosa interrupción del ataque, la intención exacta sigue siendo desconocida.