Obwohl seit zwei Jahren ein Patch verfügbar ist, bleibt die Log4Shell-Sicherheitslücke offensichtlich ein beliebter Angriffsvektor. Log4Shell wird immer noch ausgenutzt. Foto: lumerb | shutterstock.comAnfang Dezember 2021 sorgte eine schwerwiegende Sicherheitslücke in der Java-Bibliothek Log4j für Schlagzeilen – auch bekannt unter der Bezeichnung Log4Shell – oder CVE-2021-44228 (PDF). Obwohl ein Patch relativ zeitnah verfügbar war, wird die Sicherheitslücke bis heute regelmäßig ausgenutzt. Wie eine aktuelle Untersuchung der Security-Forscher von Cisco Talos zeigt, gehören dazu auch professionelle Hacker, die in staatlichem Auftrag handeln.Die Sicherheitsexperten haben eine Angriffskampagne der Hackergruppe “Lazarus” (auch bekannt unter dem Namen APT38) analysiert. Die von den Cisco-Forschern “Blacksmith” getaufte Angriffskampagne wurde offenbar im März 2023 gestartet und läuft bis heute. Sie ist darauf ausgelegt, die Log4Shell-Schwachstelle in öffentlich zugänglichen, ungepatchten VMware-Horizon-Servern auszunutzen.Dabei haben die Angreifer bislang vorrangig Unternehmen in den Bereichen Fertigung, Landwirtschaft und physische Sicherheit ins Visier genommen. Log4Shell goes APTDie Lazarus-Hackergruppe wird mit dem nordkoreanischen Regime in Verbindung gebracht und ist in der Regel an Aktionen im Bereich Cyberspionage und -sabotage beteiligt. Die Talos-Forscher gehen inzwischen davon aus, dass Lazarus heutzutage höchstwahrscheinlich eine Art Sammelbecken für verschiedene Untergruppen darstellt, die ihre jeweils eigenen Kampagnen und Ziele besitzt.Im Rahmen von Blacksmith setzten die Angreifer drei verschiedene Malware-Programme ein, die in DLang geschrieben wurden. Diese Programmiersprache wurde ursprünglich 2001 veröffentlicht und orientiert sich an C++, übernimmt jedoch viele Funktionen und Paradigmen aus anderen Sprachen. DLang stellt laut den Sicherheitsexperten eine ungewöhnliche Wahl dar, um Malware zu entwickeln. “Allerdings ist Lazarus dafür bekannt, nicht-traditionelle Technologien einzusetzen, etwa QtFramework und PowerBasic”, schreiben die Analysten.Eine der Schadsoftware-Komponenten, die in der Phase nach dem Exploit von Log4Shell zum Einsatz kommen, ist ein Remote-Access-Trojaner (RAT) namens “NineRAT”. Die Besonderheit: Er nutzt Telegram als Command-and-Control-Kanal. “Wenn NineRAT aktiviert ist, wird die Malware zur primären Methode der Interaktion mit dem infizierten Host. Zuvor eingesetzte Backdoor-Mechanismen bleiben dabei jedoch erhalten”, erklären die Talos-Forscher. Die verschiedenen Tools böten der Lazarus Group überlappende Backdoor-Einträge mit Redundanzen für den Fall, dass ein Tool entdeckt wird. Ein fortlaufender Zugriff sei damit sichergestellt, so die Security-Experten. Log4Shell wurde ursprünglich am 9. Dezember 2021 gemeldet. Da Log4j weit verbreitet ist, sind Millionen von Java-Anwendungen davon betroffen – sowohl selbst entwickelte als auch kommerzielle Lösungen. Entsprechende Patches gegen die Sicherheitslücke waren zwar bereits wenige Tage nach Bekanntwerden verfügbar. Allerdings dauerte es Monate, bis alle betroffenen Anbieter nachgezogen waren und die Firmen ihre Apps aktualisiert hatten. Trotz der großen Aufmerksamkeit, das alles verursachte, scheint auch zwei Jahre später noch eine ausreichende Anzahl von anfälligen Systemen vorhanden zu sein.Nach Angaben des Softwareanbieters Sonatype, der auch das Central Repository für Java-Komponenten betreibt, handelt es sich bei 26 Prozent aller Log4j-Downloads um anfällige Versionen.Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox. Jetzt CSO-Newsletter sichernDieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online. SUBSCRIBE TO OUR NEWSLETTER From our editors straight to your inbox Get started by entering your email address below. Bitte geben Sie eine gültige E-Mail-Adresse ein. Abonnieren