Hacker versehen VMware-Horizon-Server per Log4Shell mit Backdoor

Die Log4Shell-Schwachstelle wird aktiv ausgenutzt, um Backdoors und Cryptocurrency-Miner auf anfällige VMware Horizon-Server zu bringen. Die Cyberkriminellen haben es zudem auf Geräteinformationen abgesehen. Sophos zufolge begannen die Angriffe, die derzeit noch andauern, im Januar.

Log4Shell ist eine kritische Sicherheitslücke in der Apache Log4J Java Logging Library. Die Sicherheitslücke, die eine unautorisierte Remotecodeausführung (RCE) ermöglicht, wurde im Dezember 2021 bekannt und wird als CVE-2021-44228 mit einem CVSS-Score von 10,0 geführt.

Microsoft hat bereits Log4Shell-Angriffe von staatlich gesponserten Cyberkriminellen entdeckt, aber die meisten scheinen sich auf Cryptocurrency-Mining, Ransomware und Bot-Aktivitäten zu konzentrieren. Ein Patch wurde im Dezember 2021 veröffentlicht, aber wie es bei Servern mit Internetanschluss oft der Fall ist, wurden viele Systeme noch nicht aktualisiert.

Laut Sophos zielen die jüngsten Log4Shell-Angriffe auf ungepatchte VMware Horizon-Server mit drei verschiedenen Backdoors und vier Cryptocurrency-Minern. Die Angreifer, die hinter der Kampagne stehen, nutzen den Fehler aus, um sich Zugang zu anfälligen Servern zu verschaffen. Sobald sie in das System eingedrungen sind, können Atera Agent oder Splashtop Streamer, zwei legitime Fernüberwachungs-Softwarepakete, installiert werden, um sie als Backdoor einzusetzen. Bei der anderen von Sophos entdeckten Backdoor handelt es sich um Silver, ein offensives Open-Source-Sicherheitsimplantat, das für Pen-Tester und Red Teams freigegeben ist.

Die vier Miner, die mit dieser Angriffswelle in Verbindung stehen, sind: z0Miner, JavaX Miner, Jin und Mimu, die Monero (XMR) schürfen. „Patches sind zwar wichtig, reichen aber nicht aus, wenn es Angreifern bereits gelungen ist, eine Web-Shell oder eine Backdoor im Netzwerk zu installieren“, kommentiert Sean Gallagher, Senior Security Forscher bei Sophos.