Log4j aanvallen: Cybercriminelen bevinden zich nu nog in fase 1 van de Cyber Kill Chain

Gepubliceerd op 16 december 2021 om 15:00

Het recente beveiligingslek in software van Apache heeft al bij 47 procent van de bedrijfsnetwerken in Nederland geleid tot een poging tot misbruik. Dat meldt Check Point Research (pdf) op basis van eigen onderzoek. Het bedrijf waarschuwt dat 46 procent van de pogingen gedaan wordt door bekende kwaadwillende groepen.

Hackers in dienst van de overheden van China, Iran, Noord Korea en Turkije zijn aan de slag gegaan met de Log4Shell-kwetsbaarheid in Java-logtool Log4j. De staatshackers misbruiken de bug om malware te verdelen. De Iraanse groep Phosphorus zou bijvoorbeeld ransomware verspreiden met de hulp van Log4Shell en het Chinese Hafnium, gekend van het Microsoft Exchange-hack, valt actief gevirtualiseerde infrastructuur aan via de nieuwe bug.

Cryptomining en ransomware

Het beveiligingslek is bekend onder de naam Log4j en stelt hackers in staat om binnen te dringen in netwerken en daar software te installeren. In een aantal gevallen is dat inmiddels gelukt en wordt computercapaciteit misbruikt om cryptomunten te minen. Dat is nog redelijk onschuldig, maar de criminelen kunnen met hetzelfde gemak ransomware installeren om hun slachtoffer af te persen. Het is een soort ‘live trial’ van de kwetsbaarheid en het potentieel van de schade die bij de slachtoffers kan worden aangericht, om later een groter offensief uit te voeren, aldus Check Point Research.

Check Point Research heeft inmiddels talloze aanvallen gedetecteerd die gebruikmaken van de Log4j-kwetsbaarheid en kan een gedetailleerd voorbeeld tonen van hoe een echte aanval daadwerkelijk werkt. Terwijl de meeste miners deze kwetsbaarheid gebruikten voor op Linux gebaseerde cryptomining, hebben Check Point-onderzoekers nu een cyberaanval gedetecteerd waarbij een niet eerder gevonden op NET gebaseerde malware werd gebruikt. Deze specifieke aanval was gericht op vijf slachtoffers in de financiële, bank- en software-industrie in Israël, de Verenigde Staten, Zuid-Korea, Zwitserland en Cyprus. De server die de schadelijke bestanden bevat, bevindt zich in de VS en host meerdere schadelijke bestanden.

De aanval maakt gebruik van de Log4j-kwetsbaarheid om een trojan-malware te downloaden, die een download van een .exe-bestand activeert, dat op zijn beurt een crypto-miner installeert. Zodra de crypto-miner is geïnstalleerd, begint deze de bronnen van het slachtoffer te gebruiken om cryptocurrency te delven waarmee de aanvallers geld verdienen. Het slachtoffer merkt hooguit dat zijn computersysteem trager wordt. Als onderdeel van de ontwijkingstechnieken van de malware worden alle relevante functies en bestandsnamen versluierd om detectie door statische analysemechanismen te voorkomen.

Focus nu nog op verkenning

Over het algemeen ligt de focus van aanvallers nog op scans. Ze zijn naarstig opzoek naar kwetsbare systemen om later aanvallen uit te voeren op vette vissen. Naarmate ze de kwetsbaarheid meer in kaart brengen, volgen operationele aanvallen. Microsoft ziet bijvoorbeeld hoe aanvallers 'Cobalt Strike Beacons' op systemen plaatsen om zo dieper binnen te dringen in netwerken van een doelwit. Verder ontpopt cryptominen zich tot een populair gebruik van Log4Shell.

Het beveiligingslek wordt intussen ook schadelijkere doeleinden misbruikt. Volgens Zahier Madhar van Check Point Software Nederland, scannen aanvallers actief naar potentieel kwetsbare doelen. Daarbij kunnen ze gebruik maken van nieuwe scantools voor deze kwetsbaarheid. Woensdag ontdekte het bedrijf dat een Iraanse hackersgroep de Log4j-kwetsbaarheid probeerde te misbruiken tegen zeven doelen in Israël. Deze aanval kon worden geblokkeerd.

Het begin van de impact van Log4Shell

Madhar: “We zullen aanvallen met betrekking tot Log4j blijven onderzoeken. Onze rapporten van de afgelopen 48 uur bewijzen dat zowel criminele hackgroepen als nationale actoren betrokken zijn bij het onderzoeken van deze kwetsbaarheid en we moeten allemaal aannemen dat de komende dagen meer van dergelijke actoren zullen worden onthuld.”

Het wordt alsmaar duidelijker dat we nog maar aan het begin staan van de impact van Log4Shell. Staatsgesponsorde hackers kunnen met hun grote middelen een immense schade aanrichten. Bovendien komen de cyberwapens die ze ontwikkelen na verloop van tijd al te vaak in handen van andere actoren.

A Deep Dive Into A Real
PDF – 254,9 KB 246 downloads

Bron: anoniem, microsoft.com, checkpoint.com, itdaily.be, beveiligingnieuws.nl

Log4j gerelateerde artikelen 》

Bekijk alle vormen en begrippen 》

Actuele aanvallen overzicht per dag 》

 

Ernstige kwetsbaarheden 》Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.

Meer nieuws

Hakbit Ransomware

Hakbit Ransomware is een gevaarlijke ransomware infectie. Natuurlijk begrijpen de meeste gebruikers die besmet raken met dit programma niet hoe dat gebeurt, maar als we meer te weten zouden komen over de distributiepatronen van ransomware, zouden we kunnen voorkomen dat 'Hakbit Ransomware' onze systemen binnendringt.

Lees meer »

PSV-cybercrime Phishing Smishing Vishing overzicht week 48-2019

Phishing, Smishing is het vissen (hengelen) naar inloggegevens en persoonsgegevens van gebruikers. Dit gebeurt via (massaal verzonden) e-mails of SMS'jes, online handelsplaatsen of berichten op social media. Daarin wordt gevraagd in te loggen op een website die sprekend lijkt op die van bijvoorbeeld een bank of een nepsite. Als u inlogt, worden uw inloggegevens meteen doorgestuurd naar de fraudeur.

Lees meer »

Datalek overzicht week 48-2019

Bij een 'datalek' gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens bij een organisatie. Of om vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens en verlies van (toegang tot) persoonsgegevens.

Lees meer »

Hacktool IM-RAT door politie offline gehaald

Bij een internationale politieactie tegen cybercrime zijn verkopers en gebruikers van een hacktool gearresteerd. Het gaat om de Imminent Monitor Remote Access Trojan (IM-RAT), waarmee cybercriminelen de computer van slachtoffers konden overnemen.

Lees meer »

Aanhoudingen voor Sim-Swapping

De Amerikaanse autoriteiten hebben 14 november twee mannen opgepakt en aangeklaagd voor het stelen van cryptovaluta via 'sim-swapping'. De twee zouden naar verluidt 550.000 dollar hebben buitgemaakt of hebben geprobeerd dit bedrag te stelen, zo meldt het Amerikaanse Openbaar Ministerie.

Lees meer »

Kinderlijk eenvoudig via Telegram

De politie moet de mogelijkheid krijgen om berichten die worden uitgewisseld via de chatdienst Telegram gericht te onderscheppen, als dat technisch mogelijk blijkt te zijn. Dat zegt CDA-woordvoerder Chris van Dam naar aanleiding van vragen van programma Opgelicht?! In die uitzending duiken ze in de schimmige wereld van deze chat-app en zien ze dat criminelen zich open en bloot schuldig maken aan strafbare praktijken.

Lees meer »

Zeven nieuwe aanhoudingen in onderzoek naar sextortion

In een politieonderzoek naar sextortion zijn de afgelopen week zeven nieuwe verdachten aangehouden. Het gaat om een 19-jarige man uit Leiderdorp en zes minderjarige jongens uit Leiden, van wie een al een keer eerder in dit onderzoek is aangehouden. De afgelopen maanden werden in dit onderzoek al acht verdachten aangehouden.

Lees meer »