İki yıldan fazla bir süredir aktif olan FritzFrog Botnet, maruz kalan bir SSH sunucusuyla sağlık, eğitim ve devlet sistemlerine vuran bir aylık bir ayda on kez büyüyen endişe verici bir enfeksiyon oranı ile yeniden düzenlenmiştir.
2020 Ağustos'ta Keşfedilen Kötü amaçlı yazılım Golang'da yazılmıştır ve özel kodlara dayanan, hafızaya yatkın olan ve merkezi olmayan - eşler (P2P), bir merkeze ihtiyaç duymaz, böylece merkezi bir tehdit olarak kabul edilir. Yönetim Sunucusu.
Internet Security Company'deki araştırmacılar Akamai, Tor Proxy zincirini kullanmak gibi ilginç yeni fonksiyonlarla birlikte gelen FritzFrog Malware'in yeni bir versiyonunu gördü.
Yeni Botnet varyant ayrıca, operatörlerinin WordPress sunucularını hedeflemek için yetenek eklemeye hazır olduklarını gösteriyor.
Akamai, FritzFrog'a "yeni nesil" botnet'i çağırır, çünkü aynı kategorideki diğer tehditlerden öne çıkan özellikleri birleştirir.
Kötü amaçlı yazılım, tespiti kaçırmak için daha iyi donanımlıdır ve iletişim için "Tamamen Özel" P2P protokolü kullanılması nedeniyle düşük bir profilli tutun.
Daha fazla sayıda cihazdan ödün vermesini sağlayan SSH kimlik bilgilerini bulmak için kaba kuvvetli saldırılar için geniş bir sözlüğe dayanır.
FritzFrog sürekli olarak hedeflerin listesini güncelliyor ve ihlal edilen makineler sürekli güncellendi ve düğüm dağılımı sistemi, botnet'i dengeli tutmak için her düğüme eşit sayıda hedef sağlar.
Akamai Küresel Sensör Ağı 24.000 saldırıyı tespit etti ancak botnet şu ana kadar sadece 1.500 mağdur olduğunu iddia etti. Enfekte olan ev sahiplerinin çoğu Çin'dedir, ancak tehlikesiz sistemler arasında bir Avrupa TV ağında, bir Rus sağlık firması ve Doğu Asya'daki çeşitli üniversitelerdedir.
Aktörler, Ahududu PI panoları gibi düşük güçlü cihazları atlamak için bir filtreleme listesi uyguladılar, kötü amaçlı yazılımlar artık WordPress sitelerini hedeflemek için temelleri belirleyen kod içeriyor.
Botnet'in Cryptocurrency madenciliği için bilindiğinin göz önüne alındığında, bu fonksiyon meraklı bir ilavedir. Bununla birlikte, Akamai aktörlerin, fidye yazılımını veya veri sızıntılarını dağıtmak gibi diğer para kazanma caddelerini bulduğunu varsaymaktadır. Şu anda, bu yetenek üzerinde çalışıldığı için etkin değil.
Araştırmacılar, FritzFrog'un sürekli gelişim altında olduğunu, hataların günlük olarak, bazen günde birden çok kez sabitlendiğini belirtti.
En yeni FritzFrog örneğinde bir başka yenilik, Tor üzerinden Giden SSH bağlantılarını, ağ yapısını engelleyen ve virüslü düğümlerden görünürlüğü Botnet ağına sınırlandırıyor. Bu özellik tamamlanmasına rağmen, geliştiriciler henüz etkinleştirmemişlerdir.
Son olarak, kopyalama sistemi (yeni sistemleri enfekte etmek için kullanılır), önceki sürümde bulunan CAT komutunu değiştirerek SCP (Güvenlik Kopyalama Protokolü) tabanlıdır.
Şu anda, Akamai'deki tehdit analistleri, FritzFrog'un işletimi için kesin bir atfiye sahip değil, kanıtlar Çin'e işaret ediyor.
Kötü amaçlı yazılım benzersiz kod bileşenleri içerdiğinden, bazıları Şangay tabanlı kullanıcılar tarafından kurulan benzersiz GitHub depolarına izlenebilir.
Ayrıca, ikinci kampanyanın madencilik operasyonlarına bağlı cüzdan adresleri, nihayetinde Çin'den kaynaklandığı onaylanan Mozi Botnet'te de kullanılmıştır.
Son olarak, tüm FritzFrog'un aktif düğümlerinin yaklaşık% 37'si Çin'de, aktörün oradan faaliyet gösterdiği anlamına gelebilir.
FritzFrog, bir SSH sunucusunu ortaya çıkaran herhangi bir cihazı hedefler, bu nedenle veri merkezi sunucularının yöneticileri, bulut örnekleri ve yönlendiricilerin uyumlu kalması gerekir.
Akamai, bir sistemde çalışan FritzFrog'un aşağıdaki göstergelerini paylaşıyor:
Akamai'nin güvenlik önerileri:
Alman Govt APT27 Hacker'ların Backdooring Business Network'lerini uyardı
Yeni MoonBounce UEFI Malware APT41 tarafından hedeflenen saldırılarda kullanılmış
Linux Malware 2021'de% 35 büyüme görüyor
Çin devlet destekli bilgisayar korsanlarına bağlı yeni flagpro malware
QBOT, kimlik bilgilerinizi çalmak için sadece 30 dakikaya ihtiyaç duyar, e-postalar
Kaynak: Bleeping Computer