Angreifer nutzen Log4Shell noch immer für dauerhaften Server-Zugang
Die Sicherheitslücke Log4Shell wird weiterhin ausgenutzt. Gemäss Sophos wollen Angreifer darüber etwa dauerhafte Hintertüren in die Server ihrer Opfer schaffen, um die Zugänge dann weiterzuverkaufen.
Kriminelle nutzen die Log4Shell-Lücke, um sich dauerhaften Zugang zu Servern zu verschaffen. Wie Sophos mitteilt, betrifft dies ungepatchte VMware-Horizon-Server. Der dauerhafte Zugang könnte etwa bei zukünftigen Ransomware-Attacken zum Einsatz kommen.
Die Sicherheitslücke Log4Shell wurde Ende 2021 bekannt und betrifft die Java-Bibliothek Log4j. Die Patches zur Schliessung der Lücken sind auch schon seit Ende 2021 verfügbar, doch scheinen sie bis jetzt nicht überall eingespielt zu sein, wo es notwendig wäre.
Wer die Sicherheitslücke ausnutzt, kann beliebigen Systemcode ausführen. Bei den jüngsten Angriffen auf Horizon-Server kamen gemäss Sophos folgende Werkzeuge zum Einsatz:
Zwei legitime Monitoring und Management-Werkzeuge für den Fernzugriff - Atera Agent und Splashtop Streamer
die bösartige Sliver-Hintertür
die Cryptominer z0Miner, JavaX miner, Jin und Mimu
verschiedene auf Power-Shell basierende Reverse Shells, die Geräte- und Backup-Informationen sammeln
VMware Horizon besonders anfällig
Die Angreifer würden unterschiedliche Vorgehensweisen verwenden, um ihre Ziele zu infizieren. Einige der früheren Attacken nutzten Cobalt Strike, um Cryptominer einzusetzen. Die grösste Welle der Angriffe begann Mitte Januar 2022 und führt das Cryptominer-Installations-Skript direkt von der Apache-Tomcat-Komponente des VMware-Horizon-Servers aus. Diese Welle der Angriffe sei noch immer aktiv.
"Weit verbreitete Anwendungen wie VMware Horizon, die manuell aktualisiert werden müssen, sind besonders anfällig für Ausnutzungen im grossen Stil", sagt Sean Gallagher, Senior Security Researcher bei Sophos. "Unsere Untersuchung zeigen seit Januar 2022 Angriffswellen auf Horizon-Server, die verschiedene Hintertüren und Cryptominer für ungepatchte Server mitbringen, plus Skripte, um Geräteinformationen zu sammeln. Wir sind der Ansicht, dass einige der Hintertüren von Access Brokern geliefert sein könnten, die nach einem dauerhafte Remote-Zugang suchten und diesen wiederum anderen Angreifern verkaufen können, ähnlich wie Ransomware-Betreiber."
Generell empfiehlt Sophos, alle Geräte und Anwendungen, die Log4J enthalten, zu patchen. Haben die Angreifer bereits eine Hintertür im Netzwerk installiert, bieten auch die Patches keinen Schutz mehr. "Verteidigung in der Tiefe" und sofortiges Handeln bei Hinweisen auf Malware seien deshalb ebenfalls entscheidend.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Swisscybersecurity.net feiert seinen 5. Geburtstag
KI-basierter Angriff führt in wenigen Minuten zu Adminrechten
Passwortmanager bieten weniger Schutz als versprochen
Best of Swiss Web 2026: Jetzt sind die Jurys gefragt
KI, Supply Chains und Fake-Webseiten erhöhen das Cyberrisiko
Frühstück im Meerschweinchenparadies
Wenn Angriffe denken lernen: Cyberabwehr unter KI-getriebenem Angriffstempo
MITRE ATT&CK Framework: Von gestohlenen Hashes und getunnelten Befehlen
Cyberangriffe in der Schweiz nehmen im Januar ab
