Log4j-Log4Shell: Angreifer nutzen Schwachstelle für dauerhaften Server-Zugang

Log4j Log4shell

Beitrag teilen

Forscher der SophosLabs entdeckten drei Hintertüren und vier Cryptominer, die auf ungepatchte VMware Horizon Server zielen, um dauerhaft Zugang zu erlangen. Sophos veröffentlicht heute seine jüngsten Forschungsergebnisse zur Log4j- Log4Shell-Schwachstelle.

Angreifer nutzen diese, um Hintertüren einzubauen und Skripte für ungepatchte VMware Horizon Server zu erstellen. Dadurch erhalten sie dauerhaften Zugang auf VMware Horizon Server für zukünftige Ransomware-Attacken. In dem detaillierten Bericht  Horde of Miner Bots and Backdoors Leveraged Log4J to Attack VMware Horizon Servers beschreiben die Sophos-Forscher die Werkzeuge und Techniken für die Kompromittierung von Servern sowie drei unterschiedliche Hintertüren und vier Cryptominer. Die Hintertüren kommen möglicherweise von Access Brokern.

Log4j- und Log4Shell- Attacken laufen weiterhin

Log4Shell ist eine Schwachstelle in der Java-Codebibliothek Log4J. Wenn Angreifer diese Lücke ausnutzen, erhalten sie die Möglichkeit, jeden System-Code ihrer Wahl auszuführen. Sie ist eingebettet in Hunderte von Software-Produkten und Ende 2021 bekannt geworden. Die jüngsten Angriffsmöglichkeiten, die Log4Shell einsetzen, um anfällige Horizon Server anzugreifen, beinhalten:

  • zwei legitime Monitoring und Management-Werkzeuge für den Fernzugriff – Atera Agent und Splashtop Streamer
  • die bösartige Sliver-Hintertür
  • die Cryptominer z0Miner, JavaX miner, Jin und Mimu
  • verschiedene auf Power-Shell basierende Reverse Shells, die Geräte und Backup-Informationen sammeln

Die Sophos-Analyse zeigt, dass Sliver manchmal zusammen mit Atera- und PowerShell- Profiling-Skripten geliefert und zur Übermittlung von Jin- und Mimu-Varianten der XMrig Monero Schürfer-Botnets genutzt wird. Die Angreifer verwenden unterschiedliche Vorgehensweisen, um ihre Ziele zu infizieren. Während einige der früheren Attacken Cobalt Strike zum Bereitstellen und Ausführen der Cryptominer einsetzen, begann die größte Welle der Angriffe Mitte Januar 2022: Sie führte das Cryptominer-Installations-Skript direkt von der Apache-Tomcat-Komponente des VMware Horizon Servers aus. Diese Welle der Angriffe ist immer noch aktiv.

VMware Horizon muss manuell aktualisiert werden

„Weit verbreitete Anwendungen wie VMware Horizon, die manuell aktualisiert werden müssen, sind besonders anfällig für Ausnutzungen im großen Stil“, so Sean Gallagher, Senior Security Researcher bei Sophos. „Unsere Untersuchung zeigen seit Januar 2022 Angriffswellen auf Horizon-Server, die verschiedene Hintertüren und Cryptominer für ungepatchte Server mitbringen, plus Skripte, um Geräteinformationen zu sammeln. Wir sind der Ansicht, dass einige der Hintertüren von Access Brokern geliefert sein könnten, die nach einem dauerhafte Remote-Zugang suchten und diesen wiederum anderen Angreifern verkaufen können, ähnlich wie Ransomware-Betreiber.“

Was Unternehmen jetzt tun sollten

Die Sophos-Analyse gibt Hinweise drauf, dass mehrerer Kontrahenten diese Angriffe ausführen. Der wichtigste präventive Schritt wäre demnach, alle Geräte und Anwendungen mit der gepatchten Version der Software zu aktualisieren, die Log4J enthalten, inklusive der gepatchten VMware Horizon, sofern Organisationen die Applikationen in ihren Netzwerken verwenden. Log4J ist in Hunderten von Software-Produkte installiert, und vielen Unternehmen ist die Schwachstelle, die innerhalb ihrer Infrastruktur lauert, gar nicht bewusst, besonders bei gewerblicher, Open-Source- oder individueller Software, die keine reguläre Sicherheitsbetreuung hat.

Selbst gepatchte Programme bieten keinen Schutz, wenn Angreifer bereits in der Lage waren, eine Web Shell oder eine Hintertür im Netzwerk zu installieren. Verteidigung in der Tiefe plus sofortigem Handeln bei jeglichem Hinweis auf z.B. Schürfer und andere ungewöhnliche Aktivitäten ist entscheidend, um derartigen Attacken nicht zum Opfer zu fallen.

Sophos hat weiterhin Angriffsaktivitäten in Verbindung mit der Log4Shell Schwachstelle genau beobachtet und eine Reihe technisch detaillierter und ratgebender Berichte veröffentlicht:

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Ransomware Helldown nutzt Schwachstellen in Zyxel Firewalls aus

Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen

Gemeinsamkeiten und Unterschiede von PIM und PAM

Nicht selten werden die Aufgaben und Ziele der beiden Prinzipien PIM und PAM für die sichere Identifikationen und deren Verwaltung ➡ Weiterlesen

Cybertrends 2025 – womit man rechnen muss

Was bedeutet 2025 für die Cybersicherheit in Unternehmen? Welche Cyberattacken werden häufiger, welche Branchen stehen besonders im Visier und welche ➡ Weiterlesen

Zero-Trust-Segmentation gegen Ransomware

Ein Anbieter kündigt mit Zero-Trust-Segmentation die erste Lösung für Zero-Trust-Segmentierung an, die eine sichere, agile und kostengünstige Möglichkeit bietet, User, ➡ Weiterlesen