Con il senno di poi vengono a galla i danni della vulnerabilità Log4Shell. Secondo quanto sostenuto dalla società Crwodstrike, un attore cinese soprannominato Aquatic Panda, è stato osservato mentre sfruttava le falle critiche nella libreria di log Apache Log4j come vettore di accesso per eseguire varie operazioni di post-esploitation, tra cui la ricognizione e la raccolta di credenziali sui sistemi mirati.
Secondo la società, l’infiltrazione aveva come obiettivo una “grande istituzione accademica”. Si ritiene che il gruppo sponsorizzato dallo stato cinese stia operando dalla metà del 2020 per perseguire la raccolta di informazioni mirate allo spionaggio industriale.
Il tentativo di intrusione ha sfruttato la falla Log4Shell appena scoperta (CVE-2021-44228, punteggio CVSS: 10.0) per ottenere l’accesso a un’istanza vulnerabile del prodotto di virtualizzazione di app e desktop VMware Horizon, seguita dall’esecuzione di una serie di comandi dannosi orchestrati per recuperare i payload degli attori di minacce ospitati su un server remoto.
“Una versione modificata dell’exploit Log4j è stata probabilmente utilizzata nel corso delle operazioni dell’attore di minacce”.
L’attività di spionaggio messa in piedi dal gruppo battezzato Aquatic Panda è andata oltre la ricognizione dell’host compromesso, iniziando a manipolare l’host compromesso per poter ottenere un canale di comunicazione privilegiato con il fine di ottenere le credenziali. L’azione non è andata per fortuna a buon fine perchè l’università è stata avvisata ed ha provveduto a risolvere la vulnerabilità. Quello che invece resta ignoto, sono gli obiettivi del gruppo governativo cinese.
