FritzFrog botnet vender tilbage for at angribe sundhedssektoren, uddannelsessektoren og offentlige sektorer

0
180

Charlie OsborneSkrevet af Charlie Osborne, Bidragyder Charlie Osborne Charlie Osborne Bidragyder

Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.

Fuld biografi Udgivet i Zero Day den 10. februar 2022 | Emne: Sikkerhed

FritzFrog-botnettet er dukket op igen med en ny P2P-kampagne, der viser en vækst på 10x inden for kun en måned.

FritzFrog er et peer-to-peer-botnet, der blev opdaget i januar 2020. I løbet af en periode på otte måneder formåede botnettet at ramme mindst 500 regerings- og virksomheds-SSH-servere.

P2P-botnettet, skrevet i Golang programmeringssprog, er decentral af natur og vil forsøge at bruteforce-servere, cloud-instanser og andre enheder – inklusive routere – der har blotlagte indgangspunkter på internettet.

Torsdag sagde cybersikkerhedsforskere fra Akamai Threat Labs, at på trods af at have været stille efter dens tidligere angrebsbølge, siden december, er botnettet dukket op igen med en eksponentiel vækststigning.

“FritzFrog forplanter sig over SSH,” siger forskerne. “Når den finder en servers legitimationsoplysninger ved hjælp af en simpel (men alligevel aggressiv) brute force-teknik, etablerer den en SSH-session med det nye offer og dropper den eksekverbare malware på værten. Malwaren begynder derefter at lytte og vente på kommandoer.”

I alt er 24.000 angreb blevet opdaget til dato. Og 1.500 værter er blevet inficeret, hvoraf størstedelen er placeret i Kina. Botnettet bruges til at mine efter kryptovaluta.

Sundhedspleje, uddannelse og offentlige sektorer er alle på mållisten. Takket være ny funktionalitet og brugen af ​​et proxy-netværk, er malwaren også ved at blive forberedt til at skærpe ind på websteder, der kører WordPress indholdsstyringssystem (CMS).

En tv-kanal i Europa, en russisk producent af sundhedsudstyr og universiteter i Asien er blevet kompromitteret.

Akamai betragter FritzFrog som et “næste-generations” botnet på grund af en række nøglefunktioner. Dette inkluderer konsekvente opdaterings- og opgraderingscyklusser, en omfattende ordbog, der bruges i brute-force-angreb, og dens decentraliserede arkitektur, som beskrives som “proprietær.” Med andre ord er botnettet ikke afhængigt af andre P2P-protokoller for at fungere.

Den seneste FritzFrog opdateres dagligt – nogle gange mere end én gang om dagen. Ud over fejlrettelser har operatørerne inkluderet den nye WordPress-funktion til at tilføje websteder baseret på dette CMS til en målliste.

Men i skrivende stund er listerne tomme, hvilket tyder på, at dette er en angrebsfunktion i udviklingspipelinen.

Akamai er ikke sikker på botnettets oprindelse, men der er nogle indikatorer på, at operatørerne enten er baseret i Kina eller udgiver sig for at være operatører i landet. Et nyligt tilføjet filoverførselsbibliotek linker for eksempel til et GitHub-lager, der ejes af en bruger i Shanghai.

Derudover linker botnettets cryptocurrency-mineaktivitet til tegnebogsadresser, som også bruges af Mozi-botnettet, hvor operatører blev arresteret i Kina.

Cybersikkerhedsfirmaet har leveret et FritzFrog-detektionsværktøj på GitHub.

Tidligere og relateret dækning

Mirais splinter-botnets dominerer IoT-angrebsscenen
Dette ransomware-spredningende malware-botnet vil bare ikke forsvinde
Dark web-skurke underviser nu i kurser i, hvordan man opbygger botnets

Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0

Kina | Sikkerheds-tv | Datastyring | CXO | Datacentre