Succesvolle aanvallen uitgevoerd met Log4j-kwetsbaarheid

Meerdere succesvolle aanvallen zijn uitgevoerd waarbij de Log4j-kwetsbaarheid is uitgebuit. Via deze aanvallen zijn cryptominers uitgerold en is ransomware verspreid.  Aanvallers proberen Khonsari, een nieuwe ransomware-familie, in te zetten op systemen met het Windows-besturingssysteem. De meeste vroege aanvallen tot nu toe waren echter gericht op Linux-servers.

Dit meldt Bitdefender. Aanvallers proberen de kwetsbaarheid ook te gebruiken om de Orcus Remote Access Trojan (RAT) in te zetten. Tijdens de aanval wordt geprobeerd om shellcode van hxxp://test.verble.rocks/dorflersaladreviews.bin.encrypted te downloaden en in het geheugen van het conhost.exe-proces te injecteren. De shellcode decodeert en laadt een andere kwaadaardige lading in het geheugen, die Orcus lijkt te zijn die verbinding maakt met de test.verble[.]rocks command and control-server.

Reverse bash-shells

Aanvallers proberen reverse bash-shells uit te voeren. Deze techniek wordt gebruikt om voet aan de grond te krijgen in systemen voor latere exploitatie. Het implementeren van een reverse shell op deze kwetsbare servers is relatief eenvoudig en zal hoogstwaarschijnlijk op een gegeven moment worden gevolgd door een volledige aanval.

Bitdefender ziet dat verschillende botnets al misbruik maken van dit beveiligingslek. Botnets richten zich op servers om achterdeurtjes in te zetten en hun botnetnetwerk uit te breiden. Meer specifiek heeft Bitdefender het Muhstik-botnet geïdentificeerd als een van de early adopters. Voor botnet-operators is grootschalige implementatie van cruciaal belang voor succes. Het monitoren van botnetactiviteit is vaak een goede voorspelling van hoe gevaarlijk een nieuwe RCE werkelijk is en de potentiële omvang van aanvallen.

Meer informatie is hier beschikbaar.