Hacker versehen VMware-Horizon-Server per Log4Shell mit Backdoor

Die Log4Shell-Schwachstelle wird aktiv ausgenutzt, um Backdoors und Cryptocurrency-Miner auf anfällige VMware Horizon-Server zu bringen. Die Cyberkriminellen haben es zudem auf Geräteinformationen abgesehen. Sophos zufolge begannen die Angriffe, die derzeit noch andauern, im Januar.

Log4Shell ist eine kritische Sicherheitslücke in der Apache Log4J Java Logging Library. Die Sicherheitslücke, die eine unautorisierte Remotecodeausführung (RCE) ermöglicht, wurde im Dezember 2021 bekannt und wird als CVE-2021-44228 mit einem CVSS-Score von 10,0 geführt.

Microsoft hat bereits Log4Shell-Angriffe von staatlich gesponserten Cyberkriminellen entdeckt, aber die meisten scheinen sich auf Cryptocurrency-Mining, Ransomware und Bot-Aktivitäten zu konzentrieren. Ein Patch wurde im Dezember 2021 veröffentlicht, aber wie es bei Servern mit Internetanschluss oft der Fall ist, wurden viele Systeme noch nicht aktualisiert.

Laut Sophos zielen die jüngsten Log4Shell-Angriffe auf ungepatchte VMware Horizon-Server mit drei verschiedenen Backdoors und vier Cryptocurrency-Minern. Die Angreifer, die hinter der Kampagne stehen, nutzen den Fehler aus, um sich Zugang zu anfälligen Servern zu verschaffen. Sobald sie in das System eingedrungen sind, können Atera Agent oder Splashtop Streamer, zwei legitime Fernüberwachungs-Softwarepakete, installiert werden, um sie als Backdoor einzusetzen. Bei der anderen von Sophos entdeckten Backdoor handelt es sich um Silver, ein offensives Open-Source-Sicherheitsimplantat, das für Pen-Tester und Red Teams freigegeben ist.

Die vier Miner, die mit dieser Angriffswelle in Verbindung stehen, sind: z0Miner, JavaX Miner, Jin und Mimu, die Monero (XMR) schürfen. „Patches sind zwar wichtig, reichen aber nicht aus, wenn es Angreifern bereits gelungen ist, eine Web-Shell oder eine Backdoor im Netzwerk zu installieren“, kommentiert Sean Gallagher, Senior Security Forscher bei Sophos.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

4 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

6 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

6 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

10 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

10 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

10 Stunden ago