Log4Shell-Schwachstelle wird aktiv genutzt, um Malware in VMWare Horizon-Server einzuschleusen
Die Nachbeben des Erdbebens, das die Ende 2021 entdeckte Schwachstelle Log4Shell oder Log4j im IT-Sicherheitssektor ausgelöst hat, schlagen noch immer Wellen. Sicherheitsforscher entdeckten laufende Angriffe auf VMWare Horizon-Server und infizierten sie mit verschiedener Malware, wobei die berüchtigte Schwachstelle missbraucht wurde.
Log4j ist der Name des weit verbreiteten Java-basierten Protokollierungstools, das von der Schwachstelle betroffen ist. Log4Shell ist technisch gesehen der Name der Schwachstelle selbst, aber die Begriffe wurden mit Log4j austauschbar – dem Namen der Software, die von der Schwachstelle betroffen ist.
Log4Shell, von Sicherheitsexperten als „Schwachstelle des Jahrzehnts“ bezeichnet, erhielt bei der Katalogisierung den perfekten Schweregrad von 10,0.
Neue Kampagne verbreitet Kryptominer und Hintertüren
Ein Forschungsteam des Sicherheitsunternehmens Sophos überwacht eine neue laufende Angriffskampagne, bei der die Schwachstelle missbraucht wird. Das Ziel der Hacker, die die Angriffskampagne durchführen, sind VMWare Horizon-Server, auf denen noch ungepatchte Software ausgeführt wird.
Sobald die Server kompromittiert sind, werden sie mit verschiedenen Arten von Backdoors sowie Cryptominer-Malware infiziert.
Sobald die Systeme mit Log4Shell kompromittiert wurden, installieren die Hacker legitime Fernzugriffs- und Anzeigetools, die als Hintertüren verwendet werden.
Es gibt eine Handvoll bösartiger Cryptominer-Tools, die bei diesen Angriffen verwendet werden, darunter JavaX, Jin, z0Miner und Mimu. Es gibt teilweise Hinweise darauf, dass die laufende Kampagne, die diese Cryptominer verbreitet, mit einer älteren Kampagne verbunden sein könnte, die eine ältere Schwachstelle nutzte.
Neben der Bereitstellung von Cryptominer und Backdoor auf den kompromittierten VMWare Horizon-Servern bemerkten die Forscher auch diese Angriffskampagne, bei der Datenerfassungstools eingesetzt wurden. Die bei den Angriffen eingesetzten zusätzlichen Tools versuchen, Backup- und Systemdaten von den Geräten zu kratzen.
Log4Shell – der Exploit, der nicht verschwinden wollte
Die Vorhersagen, dass Log4Shell die IT-Sicherheit noch sehr lange plagen wird, scheinen sich zu bewahrheiten. Angreifer müssen sich nicht einmal besonders anstrengen, denn aufgrund der großen Anzahl von Systemen, auf denen die zugrunde liegende Software ausgeführt wird, die in den Exploits verwendet wird, wird es wahrscheinlich noch Jahre lang ungepatchte Instanzen geben, genau wie die Forscher vorhergesagt haben.