قالت شركة (كراودسترايك) CrowdStrike إن صائدي التهديدات التابعين لها قد حددوا وعطلوا هجومًا شنته مجموعة قراصنة تدعمها الصين ، والتي تضمنت استغلالًا للثغرة الأمنية الشهيرة Log4j في برنامج Apache.

وأوضحت الشركة المتخصصة في الأمن السيبراني أن صائدي التهديدات في فريق Falcon OverWatch التابع لها تدخلوا للمساعدة في حماية “مؤسسة أكاديمية كبيرة”، لم يُعلن عن اسمها، من هجوم إلكتروني يبدو أنه استخدم ثغرة Log4j مُعدَّلة.

وأطلقت CrowdStrike على المجموعة التي تتخذ من الصين مقرًا لها اسم Aquatic Panda. ورجحت الشركة أن تكون المجموعة قد بدأت نشاطها منذ منتصف عام 2020، ولكنها لم تظهر للعلن قبل الآن.

وقال (بارام سينغ)، نائب رئيس CrowdStrike OverWatch، في رسالة بريد إلكتروني إلى موقع VentureBeat: “نظرًا لأن (فريق) OverWatch عطّل الهجوم قبل أن تتمكن Aquatic Panda من اتخاذ إجراء ضد أهدافها، فإن نيتها الدقيقة غير معروفة”.

وأضاف سينغ: “ومع ذلك، من المعروف أن هذا الخصم يستخدم أدوات للحفاظ على الثبات في البيئات حتى يتمكنوا من الوصول إلى الملكية الفكرية والأسرار التجارية الصناعية الأخرى”.

ووفقًا لشركة CrowdStrike، سعت المجموعة إلى الاستفادة من العيوب التي أُعلن عنها حديثًا في Apache Log4j، وهو مكون شائع في برامج تسجيل الدخول.

ونظرًا لاستخدام Log4j على نطاق واسع في تطبيقات (جافا) Java، فقد أصبحت جهود الدفاع والمعالجة محورًا رئيسيًا لفرق الأمان في الأسابيع الأخيرة، وذلك بعد الكشف عن أول سلسلة من الثغرات الأمنية في البرنامج في 9 كانون الأول/ ديسمبر الجاري. وقد أُعلن عن ثغرة في تنفيذ التعليمات البرمجية عن بُعد في Log4j، المعروفة باسم Log4Shell، أول مرة في اليوم المذكور آنفًا. ثم كُشف عن ثغرات أمنية إضافية في الأسابيع التالية.

أنشطة مشبوهة

وأوضحت CrowdStrike أن محاولات الاستغلال التي فعلتها Aquatic Panda استهدفت العناصر المعرضة للخطر من برنامج البنية التحتية لسطح المكتب الافتراضي من VMware.

وتُعد VMware مستخدمًا رئيسيًا للغة البرمجية (جافا) في منتجاتها، وقد أصدرت إرشادات أمنية بشأن العديد من المنتجات التي من المحتمل أن تتأثر بالثغرات الأمنية Log4j.

وبعد استشارة من VMware في 14 كانون الأول/ ديسمبر الجاري، قالت CrowdStrike إن فريق OverWatch بدأ بالبحث عن عمليات غير عادية تتعلق بخدمة VMware Horizon، وخدمة خادم الويب Apache Tomcat.

وأدى ذلك إلى قيام فريق OverWatch بمراقبة مهاجمي Aquatic Panda وهم يفحصون الاتصال عبر عمليات بحث DNS وتنفيذ العديد من أوامر (لينوكس) Linux.

ووصفت CrowdStrike مجموعة Aquatic Panda بأنها “خصم اقتحام مستهدف مقره الصين مع مهمة مزدوجة لجمع المعلومات الاستخباراتية والتجسس الصناعي”.

وفي الماضي، ركزت عمليات Aquatic Panda في المقام الأول على شركات الاتصالات والتقنية والحكومات.

وقالت شركة مايكروسوفت في 11 كانون الأول/ ديسمبر إنها وجدت أن الجهات الحكومية المرتبطة بالصين، وإيران، وكوريا الشمالية، وتركيا تجرِّب وتستغل ثغرة Log4j .

قد يهمك أيضًا: تزداد مخاطرها يوميًا: كل ما تود معرفته عن ثغرة Log4Shell