Log4shell-Exploits werden jetzt hauptsächlich für DDoS-Botnets und Kryptominer verwendet
Die Log4Shell-Schwachstellen in der weit verbreiteten Log4j-Software werden auch heute noch von Angreifern ausgenutzt, um verschiedene Malware-Payloads einzusetzen, einschließlich der Aufnahme von Geräten für DDoS-Botnets und zum Einschleusen von Kryptominern.
Einem Bericht von Barracuda zufolge waren die letzten Monate durch Schwankungen und Spitzen bei den Angriffen auf Log4Shell gekennzeichnet, aber das Volumen der Ausnutzungsversuche ist relativ konstant geblieben.
Nach der Analyse dieser Angriffe stellte Barracuda fest, dass die meisten Angriffsversuche von IP-Adressen in den USA (80%) ausgingen, gefolgt von Japan, Mitteleuropa und Russland.
Im Dezember 2021 fanden Forscher heraus, dass Log4j Version 2.14.1 und alle vorherigen Versionen anfällig für CVE-2021-44228, genannt „Log4Shell“, eine kritische Zero-Day-Schwachstelle zur Remotecodeausführung sind.
Apache, der Entwickler von Log4j, versuchte das Problem mit der Veröffentlichung von Version 2.15.0 zu beheben. Die Entdeckung weiterer Schwachstellen und Sicherheitslücken verlängerte jedoch den Patching-Wettlauf bis zum Ende des Jahres, als mit Version 2.17.1 endlich alle Probleme behoben wurden.
Laut Barracuda laufen jedoch auf vielen Systemen weiterhin ältere Versionen des beliebten Logging-Frameworks und sind somit anfällig für Angriffe.
Barracuda-Forscher haben verschiedene Payloads entdeckt, die auf anfällige Jog4j-Implementierungen abzielen, aber die Derivate des Mirai-Botnetzes scheinen im Moment den Löwenanteil zu übernehmen.
Die Mirai-Malware zielt auf öffentlich zugängliche Netzwerkkameras, Router und andere Geräte ab und bindet sie in ein Botnet aus ferngesteuerten Bots ein. Der Bedrohungsakteur kann dieses Botnet dann so steuern, dass es DDoS-Angriffe gegen ein bestimmtes Ziel durchführt, dessen Ressourcen erschöpft und dessen Online-Service unterbricht.
Wie der Barracuda-Bericht erklärt, wird Mirai in verschiedenen Formen und von verschiedenen Quellen aus verbreitet, was darauf hindeutet, dass die Betreiber versuchen, ein großes Botnetz aufzubauen, das in Zukunft Opfer aller Größenordnungen angreift.
Die Bedrohungsakteure, die hinter diesen Operationen stehen, vermieten entweder ihre Botnet-Firepower an andere oder starten selbst DDoS-Angriffe, um Unternehmen zu erpressen.
Andere Payloads, die bei den jüngsten Log4j-Angriffen abgeworfen wurden, sind:
- BillGates-Malware (DDoS)
- Muhstik (DDoS)
- Kinsing (Kryptominer)
- XMRig (Kryptominer)
Die Analysten von Barracuda sagen, dass sie keine Ransomware-Banden gesehen haben, die öffentlich zugängliche VMWare-Installationen ausnutzen, und glauben, dass diese eher als Insider-Bedrohung für bereits kompromittierte Netzwerke eingesetzt werden.
Die Conti Ransomware nutzte beispielsweise Log4j-Exploits, um sich seitlich auf VMware vCenter-Installationen auszubreiten.
Eine permanente Bedrohung
Der einfachste Weg, sich gegen diese Art von Angriffen zu schützen, besteht darin, Log4j auf die Version 2.17.1 oder höher zu aktualisieren und generell alle Ihre Webanwendungen auf dem neuesten Stand zu halten.
Da die meisten Geräte, auf die Mirai abzielt, es nicht erlauben, einzelne Pakete zu aktualisieren, müssen Sie nach aktualisierter Firmware suchen, die Log4j-Korrekturen enthält, und diese anwenden, falls verfügbar.
Während Barracuda berichtet, dass die Zahl der Log4Shell-Angriffe konstant bleibt, hat Sophos kürzlich einen Rückgang festgestellt. Alle Analysten sind sich jedoch einig, dass die Bedrohung weiterhin besteht.
Selbst wenn das Interesse der Mehrheit der Bedrohungsakteure nachlässt, werden einige weiterhin anfällige Log4j-Implementierungen ins Visier nehmen, da ihre Zahl nach wie vor beachtlich ist.
Wertvolle Organisationen, die für Ransomware-Angriffe lukrativ waren, haben die Sicherheitsupdates eingespielt, aber für Kryptomining und DDoS-Angriffe sind vernachlässigte Systeme, auf denen ältere Versionen laufen, hervorragende Ziele.