Angreifer nutzen Log4Shell noch immer für dauerhaften Server-Zugang
Die Sicherheitslücke Log4Shell wird weiterhin ausgenutzt. Gemäss Sophos wollen Angreifer darüber etwa dauerhafte Hintertüren in die Server ihrer Opfer schaffen, um die Zugänge dann weiterzuverkaufen.
Kriminelle nutzen die Log4Shell-Lücke, um sich dauerhaften Zugang zu Servern zu verschaffen. Wie Sophos mitteilt, betrifft dies ungepatchte VMware-Horizon-Server. Der dauerhafte Zugang könnte etwa bei zukünftigen Ransomware-Attacken zum Einsatz kommen.
Die Sicherheitslücke Log4Shell wurde Ende 2021 bekannt und betrifft die Java-Bibliothek Log4j. Die Patches zur Schliessung der Lücken sind auch schon seit Ende 2021 verfügbar, doch scheinen sie bis jetzt nicht überall eingespielt zu sein, wo es notwendig wäre.
Wer die Sicherheitslücke ausnutzt, kann beliebigen Systemcode ausführen. Bei den jüngsten Angriffen auf Horizon-Server kamen gemäss Sophos folgende Werkzeuge zum Einsatz:
Zwei legitime Monitoring und Management-Werkzeuge für den Fernzugriff - Atera Agent und Splashtop Streamer
die bösartige Sliver-Hintertür
die Cryptominer z0Miner, JavaX miner, Jin und Mimu
verschiedene auf Power-Shell basierende Reverse Shells, die Geräte- und Backup-Informationen sammeln
VMware Horizon besonders anfällig
Die Angreifer würden unterschiedliche Vorgehensweisen verwenden, um ihre Ziele zu infizieren. Einige der früheren Attacken nutzten Cobalt Strike, um Cryptominer einzusetzen. Die grösste Welle der Angriffe begann Mitte Januar 2022 und führt das Cryptominer-Installations-Skript direkt von der Apache-Tomcat-Komponente des VMware-Horizon-Servers aus. Diese Welle der Angriffe sei noch immer aktiv.
"Weit verbreitete Anwendungen wie VMware Horizon, die manuell aktualisiert werden müssen, sind besonders anfällig für Ausnutzungen im grossen Stil", sagt Sean Gallagher, Senior Security Researcher bei Sophos. "Unsere Untersuchung zeigen seit Januar 2022 Angriffswellen auf Horizon-Server, die verschiedene Hintertüren und Cryptominer für ungepatchte Server mitbringen, plus Skripte, um Geräteinformationen zu sammeln. Wir sind der Ansicht, dass einige der Hintertüren von Access Brokern geliefert sein könnten, die nach einem dauerhafte Remote-Zugang suchten und diesen wiederum anderen Angreifern verkaufen können, ähnlich wie Ransomware-Betreiber."
Generell empfiehlt Sophos, alle Geräte und Anwendungen, die Log4J enthalten, zu patchen. Haben die Angreifer bereits eine Hintertür im Netzwerk installiert, bieten auch die Patches keinen Schutz mehr. "Verteidigung in der Tiefe" und sofortiges Handeln bei Hinweisen auf Malware seien deshalb ebenfalls entscheidend.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.