Chinese criminelen misbruikten Log4Shell grote academische instelling

Cyberbeveiligingsbedrijf CrowdStrike meldt aan Hacker News dat dat de infiltratie bij een ‘niet nader te noemen grote academische instelling’ uiteindelijk werd verijdeld. De door de Chinese staat gesponsorde groep genaamd Aquatic Panda zou al sinds 2020 actief zijn om bedrijven in de telecommunicatie-, technologie- en overheidssector aan te vallen, met economische spionage als doel.

De groep maakte dit keer gebruik van recent ontdekte Log4Shell-fouten om toegang te verkrijgen tot een VMware Horizon-product voor desktop- en app-virtualisatie. Er werd door de aanvallers vervolgens een reeks aan ‘kwaadaardige’ opdrachten uitgevoerd waarmee meer controle moest worden verkregen.

"Er is door de aanvallers waarschijnlijk een aangepaste versie van de Log4j-exploit gebruikt", merkten de onderzoekers op, die ook stellen dat het ging om de exploit die op 13 december 2021 in GitHub werd gepubliceerd.

Meer dan verkennen

Aquatic Panda ging bij de aanval volgens de onderzoekers verder dan alleen verkennen. Er werd een poging gedaan om meer controle te krijgen op de systemen. Nadat de kennisinstelling op de hoogte was gebracht van het incident kon er nog op tijd worden gepatcht en werd meer activiteit van de aanvallers voorkomen. De exacte reden van de aanval is vooralsnog onbekend.