StealthLoader-malware misbruikt Log4j Zero-day

CPR heeft talloze aanvallen gedetecteerd die gebruikmaken van de Log4j-kwetsbaarheid

| Check Point | 3 min | 17 december 2021 12:41
Afbeelding: De log4j infectie keten | Copyright: Check Point
Tijdens het monitoren van de exploit-activiteit rondom Log4j ontdekte Check Point Research (CPR) aanvallen waarbij cryptocurrencies werden gemined. Dergelijke aanvallen (crypto-georiënteerd, minder destructief) vertegenwoordigen de vroege stadia van grootschalige aanvallen (zoals ransomware). Het is een soort "live trial" van de kwetsbaarheid en het potentieel van de schade die bij de slachtoffers kan worden aangericht, om later een groter offensief uit te voeren.

CPR heeft talloze aanvallen gedetecteerd die gebruikmaken van de Log4j-kwetsbaarheid en toont een gedetailleerd voorbeeld van hoe een echte aanval daadwerkelijk werkt. Terwijl de meeste miners deze kwetsbaarheid gebruikten voor op Linux gebaseerde cryptomining, hebben Check Point-onderzoekers nu een cyberaanval gedetecteerd waarbij een niet eerder gevonden op NET gebaseerde malware werd gebruikt. Deze specifieke aanval was gericht op vijf slachtoffers in de financiële, bank- en software-industrie in Israël, de Verenigde Staten, Zuid-Korea, Zwitserland en Cyprus. De server die de schadelijke bestanden bevat, bevindt zich in de VS en host meerdere schadelijke bestanden.

Hoe de aanval werkt

De aanval maakt gebruik van de Log4j-kwetsbaarheid om een trojan-malware te downloaden, die een download van een .exe-bestand activeert, dat op zijn beurt een crypto-miner installeert. Zodra de crypto-miner is geïnstalleerd, begint deze de bronnen van het slachtoffer te gebruiken om cryptocurrency te delven voor de winst van de aanvallers, allemaal zonder dat het slachtoffer weet dat ze zijn gecompromitteerd. Als onderdeel van de ontwijkingstechnieken van de malware worden alle relevante functies en bestandsnamen versluierd om detectie door statische analysemechanismen te voorkomen.

Een deep dive in een live aanval is te lezen in dit blog:
https://blog.checkpoint.com/2021/12/14/a-deep-dive-into-a-real-life-log4j-exploitation/

Recente cijfers over de cyperpandemie:
  • CPR heeft inmiddels meer dan 1.800.000 pogingen gevolgd om de Log4j-kwetsbaarheid te misbruiken. 46% van die pogingen werd gedaan door bekende kwaadwillende groepen.
  • Tot gister had 47% van de bedrijfsnetwerken in Nederland een poging tot misbruik gehad.
Meer informatie in dit blog 'The numbers behind a cyber pandemic - detailed dive', met onderaan het artikel ook een breakdown per land evenals een rangschikking van de impact van dit beveiligingslek per sector:
https://blog.checkpoint.com/2021/12/13/the-numbers-behind-a-cyber-pandemic-detailed-dive/

Zahier Madhar, security engineer bij Check Point Software in Nederland, zegt: “We hebben de afgelopen dagen een enorm aantal uitbuitingspogingen gedetecteerd. Aanvallers scannen actief naar potentieel kwetsbare doelen en er komen steeds nieuwe scantools voor deze kwetsbaarheid op de markt. Bedreigingsactoren testen graag hun tools en doelen, wat leidt tot gevaarlijkere aanvallen zoals ransomware. Als malware eenmaal is geïnjecteerd, is het slechts een kwestie van tijd voor een grotere aanval. Technisch is er niet veel verschil. Wat nu cryptomining is, wordt later vaak ransomware en andere soorten significante aanvallen."

Check Point meldt verder dat een bekende Iraanse hackgroep (vaak geassocieerd met het lokale regime), genaamd "Charming Kitten" of APT 35, ook achter een poging zit om de Log4j-kwetsbaarheid te misbruiken tegen 7 doelen in Israël in de afgelopen 24 uur.

Check Point heeft deze aanvallen geblokkeerd, doordat het getuige was van communicatie tussen een server die door deze groep wordt gebruikt en de doelen in Israël. De aanval vond plaats tussen 06:00 en 16:00 uur PST. Vooralsnog is er geen bewijs van gerelateerde activiteiten van de groep op doelen buiten Israël.

Madhar zegt: "We zullen aanvallen met betrekking tot Log4j blijven onderzoeken. Onze rapporten van de afgelopen 48 uur bewijzen dat zowel criminele hackgroepen als nationale actoren betrokken zijn bij het onderzoeken van deze kwetsbaarheid, en we moeten allemaal aannemen dat de komende dagen meer van dergelijke actoren zullen worden onthuld."

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Deel dit item
Over Check Point
Check Point Software Technologies (NASDAQ: CHKP) biedt cybersecurity-oplossingen voor overheden en enterprises wereldwijd. Het beschermt klanten tegen cyberaanvallen met een ongeëvenaarde vangstratio van malware, ransomware en andere soorten aanvallen. Check Point biedt een multi-level security-architectuur die de netwerken tot en met de mobiele toestellen van bedrijven beschermt.
Meer over Check Point
Disclaimer
Deze content is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als de content een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis de originele content leidend.
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191030103431.png
Conference by app developers, for app developers!
20191029200614.jpg
Drive value with data
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
© 2019-2022, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.