Log4j-Lücke: Erste Angriffe mit Ransomware und von staatlichen Akteuren

Inhaltsverzeichnis

Mehrere IT-Sicherheits-Teams berichten von aktuellen Angriffen bezüglich der Log4Shell-Sicherheitslücke. Demzufolge nutzen staatliche Gruppierungen die Schwachstelle für ihre Zwecke aus. Aber auch Cybergangster verteilen bereits Krypto-Miner und sogar Ransomware, um Profit aus der Lücke zu schlagen.

Ein Großteil der Angriffe auf die Lücke seien immer noch allgemeine Scans auf Verwundbarkeit durch Sicherheitsforscher, aber auch durch Cyberkriminelle. Doch deren schiere Anzahl nimmt bereits etwas ab. Doch das bedeutet keine Entwarnung. Der Content-Delivery-Netzwerk-Spezialist Akamai vermeldet, dass deren Systeme stündlich 250.000 Angriffsversuche auf die CVE-2021-44228-Lücke feststellen. Das Unternehmen geht davon aus, dass uns solche Attacken noch monatelang begleiten werden.

Angriffsziel Minecraft

Microsofts Threat Intelligence Center (MSTIC) berichtet unterdessen, dass auch nicht von dem Unternehmen gehostete Minecraft-Server attackiert würden. Diese seien in einigen der Fälle etwa durch eine Erweiterung für die Log4j-Lücke anfällig, die Dritthersteller-Modifikationen lädt. Die Angreifer hätten manipulierte Textnachrichten im Spiel gesendet, die die Log4Shell-Lücke zum Ausführen des Schadcodes sowohl auf dem Server als auch auf den angebundenen Clients missbrauche.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.

YouTube-Video immer laden YouTube-Video jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Bei der dabei eingeschleusten Java-Klasse handele es sich um die Khonsari-Ransomware, die im Kontext des Java-Interpreter javaw.exe ausgeführt werde. Weiterhin haben die Redmonder Sicherheitsforscher beobachtet, dass Angreifer Powershell-basierte Reverse-Shells über die Lücke einschmuggelten.

Dadurch erhielten sie vollen Zugriff auf die kompromittierte Maschine und installierten die Malware Mimikatz, um Zugangsdaten zu stehlen. Da die Forscher noch keine weiteren darauf aufbauenden Aktivitäten festgestellt haben, mutmaßen sie, dass die Angreifer sie für einen späteren Einsatz sammeln. Sie weisen darauf hin, dass Serverbetreiber dringend die bereitstehenden Updates installieren sollten.

Staatliche Akteure

Microsofts Analysten schreiben zudem, dass von ihnen beobachtete staatliche Gruppen aus China, dem Iran, Nordkorea und der Türkei die Lücke ebenfalls untersuchen. Die Aktivitäten reichten von Experimenten in der Entwicklung, über das Integrieren der Schwachstelle in den in freier Wildbahn genutzten Exploit-Baukasten hin zum direkten Ausnutzen der Lücke, um die verfolgten Ziele der Angreifer zu erreichen.

Die iranische Gruppierung Phosphorus habe etwa Ransomware auf anfällige Server installiert. Hafnium, eine chinesisch-staatliche Gruppe, habe eher Virtualisierungsinfrastruktur im Blick und nutze einen DNS-Dienst, um Aktivitäten auszuforschen.

Ransomware als Dienstleistung

Weitere Gruppen aus dem Bereich Ransomware-as-a-Service seien dabei beobachtet worden, dass sie durch die Log4j-Lücke initiale Zugänge zu den Netzwerken ergatterten. Anschließend böten sie Zugänge anderen Gruppen an. Microsoft habe dabei Angriffe sowohl auf Linux-, als auch auf Windows-Systeme gesehen und geht davon aus, dass mehr von Menschen manuell gesteuerte Ransomware-Angriffe zu erwarten seien.

Des Weiteren haben Cybergangs ihre kriminellen Aktivitäten angepasst. Das Mirai-Botnetz installiere via Log4Shell Krypto-Miner sowie die Tsunami-Backdoor auf Linux-Server. Die Angriffe zielten sowohl auf Windows-, als auch auf Linux-Systeme. Die Base64-codierten Befehle in der manipulierten JDNI://ldap-Anfrage starteten Bash-Befehle unter Linux und Powershell in Windows.

Zudem haben Forscher Angriffe gesehen, bei denen kein Schadcode eingeschleust wurde, sondern lediglich Informationen abflossen. Das könne auf Netzwerkgeräten mit SSL-Verschlüsselung zum Ausspähen von geheimen Informationen und Daten genutzt werden.

Mandiant hat ebenfalls staatliche kontrollierte Angriffe von Gruppen aus dem Iran und China gesehen und bestätigt Microsofts Beobachtungen. In einigen Fällen arbeiteten die Gruppen schon ihre Listen von Zielen ab. In anderen würden sie zunächst einbrechen, um gegebenenfalls später bei einer Beauftragung weiter vorzudringen. Das IT-Sicherheitsunternehmen erwartet eine Zunahme an bösartigen staatlichen Aktivitäten.

Zwischenbilanz

Die Bedrohungslage ist sehr ernst. Cyberkriminelle machen umfassend verwundbare Systeme ausfindig und greifen sie an. Administratoren und Sicherheitsverantwortliche müssen ihnen möglichst zuvorkommen und rasch angreifbare Systeme identifizieren und absichern. Ähnlich einer Schutzimpfung gilt es abzuwägen, was gegebenenfalls schlimmere Auswirkungen hat: Das Update mit möglicherweise kurzen Systemausfällen – vergleichbar mit der Impfung, oder der längerfristige Ausfall etwa durch Ransomware-Befall mit möglicherweise noch schlimmeren Folgen, analog dem Durchmachen der Krankheit. Thüringen hat dies konsequent gelöst, indem die IT-Sicherheitsexperten des Landes Anfang der Woche weite Teile der IT schlicht offline genommen, auf Verwundbarkeit untersucht sowie bei Bedarf aktualisiert haben.

Das github-Repository der CISA mit der Liste verwundbarer Systeme und Anwendungen ist inzwischen Prall gefüllt. Unzählige Anwendungen sind dort mit Status verwundbar, nicht betroffen oder etwa in Untersuchung versammelt; zudem mit Link auf entsprechende Hersteller-Sicherheitsmeldungen. Für IT-Verantwortliche eine sehr nützliche Handreichung, um schnell einen ersten Überblick zu erhalten, ob sie verwundbare Systeme einsetzen und aktualisieren müssen.

Das heise-Security-Webinar Die Log4j-Lücke – der Praxis-Ratgeber für Admins am Montag, dem 20. Dezember gibt konkrete Hilfestellung für den Umgang mit Log4j im Unternehmens- und Behördenumfeld.

(dmk)