Log4j: Einbetten von Kryptominern
Bitdefender entdeckt laufende Attacken auf die Log4j-Schwachstelle
Angreifer versuchen auch über die Schwachstelle den Remote Access Trojaner (RAT) Orcus zu implementieren
Die Experten der Bitdefender Labs beobachten zahlreiche aktuelle Angriffe, die die Log4j-Schwachstelle ausnutzen. Bestätigen lassen sich erfolgreiche Angriffe zum Einbetten von Kryptominern sowie versuchte Ransomware-Attacken. Die wichtigsten Ergebnisse einer ersten Bestandaufnahme von Bitdefender im Überblick:
• >> Die Cyberkriminellen versuchen eine neue Ransomware-Familie, Khonsari, einzubetten. Sie attackieren jetzt auch Microsoft-Windows-Systeme, nachdem zunächst Linux-Server im Visier der Hacker waren.
• >> Angreifer versuchen auch über die Schwachstelle den Remote Access Trojaner (RAT) Orcus zu implementieren. Sie versuchen Shellcode von hxxp://test.verble.rocks/dorflersaladreviews.bin.encrypted herunterzuladen und im Speicher des conhost.exe-Prozesses zu injizieren. Dieser Shellcode entschlüsselt und lädt andere bösartige Payload in den Speicher nach, der Orcus an die Command-and-Control-Server anbindet.
• >> Mit Reverse Bash Shells versuchen Cyberkriminelle, einen Zugriff in Systeme für spätere Folgeaktionen zu erhalten. Das ist relativ einfach. In der Folge sind mit hoher Wahrscheinlichkeit umfassendere Angriffe zu erwarten.
• >> Die Bitdefender-Experten beobachten bereits zahlreiche Botnetze, die die Schwachstelle ausnutzen, um Backdoors in neuen Opfernetzen zu installieren und ihre Netzwerke zu erweitern. Ein erstes Beispiel dafür ist Muhstik. Botnetze leben von ihrer Größe. Das Wachstum dieser Netze ist ein guter Indikator für die Gefahr von Schwachstellen.
Einen vollständigen Überblick bietet Bitdefender in seinem aktuellen Report: https://businessinsights.bitdefender.com/technical-advisory-zero-day-critical-vulnerability-in-log4j2-exploited-in-the-wild
(Bitdefender: ra)
eingetragen: 14.12.21
Newsletterlauf: 16.02.22
Bitdefender: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.