Die Log4Shell-Schwachstelle wird aktiv ausgenutzt, um Backdoors und Cryptocurrency-Miner auf anfällige VMware Horizon-Server zu bringen. Die Cyberkriminellen haben es zudem auf Geräteinformationen abgesehen. Sophos zufolge begannen die Angriffe, die derzeit noch andauern, im Januar.
Log4Shell ist eine kritische Sicherheitslücke in der Apache Log4J Java Logging Library. Die Sicherheitslücke, die eine unautorisierte Remotecodeausführung (RCE) ermöglicht, wurde im Dezember 2021 bekannt und wird als CVE-2021-44228 mit einem CVSS-Score von 10,0 geführt.
Microsoft hat bereits Log4Shell-Angriffe von staatlich gesponserten Cyberkriminellen entdeckt, aber die meisten scheinen sich auf Cryptocurrency-Mining, Ransomware und Bot-Aktivitäten zu konzentrieren. Ein Patch wurde im Dezember 2021 veröffentlicht, aber wie es bei Servern mit Internetanschluss oft der Fall ist, wurden viele Systeme noch nicht aktualisiert.
Laut Sophos zielen die jüngsten Log4Shell-Angriffe auf ungepatchte VMware Horizon-Server mit drei verschiedenen Backdoors und vier Cryptocurrency-Minern. Die Angreifer, die hinter der Kampagne stehen, nutzen den Fehler aus, um sich Zugang zu anfälligen Servern zu verschaffen. Sobald sie in das System eingedrungen sind, können Atera Agent oder Splashtop Streamer, zwei legitime Fernüberwachungs-Softwarepakete, installiert werden, um sie als Backdoor einzusetzen. Bei der anderen von Sophos entdeckten Backdoor handelt es sich um Silver, ein offensives Open-Source-Sicherheitsimplantat, das für Pen-Tester und Red Teams freigegeben ist.
Die vier Miner, die mit dieser Angriffswelle in Verbindung stehen, sind: z0Miner, JavaX Miner, Jin und Mimu, die Monero (XMR) schürfen. „Patches sind zwar wichtig, reichen aber nicht aus, wenn es Angreifern bereits gelungen ist, eine Web-Shell oder eine Backdoor im Netzwerk zu installieren“, kommentiert Sean Gallagher, Senior Security Forscher bei Sophos.
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.