Субъект угрозы, стоящий за одноранговой (P2P) ботнетом, известным как FritzFrog, вернулся с новым вариантом, который использует уязвимость Log4Shell для распространения внутри уже скомпрометированной сети.
"Уязвимость используется методом грубой силы, который пытается нацелиться на как можно большее количество уязвимых Java-приложений", - сказала компания Akamai, занимающаяся веб-инфраструктурой и безопасностью, в отчете, опубликованном в Hacker News.
FritzFrog, впервые задокументированная компанией Guardicore (ныне частью Akamai) в августе 2020 года, представляет собой вредоносное ПО на базе Golang, которое в первую очередь нацелено на серверы, подключенные к Интернету, со слабыми учетными данными SSH. Известно, что оно активно с января 2020 года.
С тех пор оно развилось, чтобы поражать здравоохранение, образование и государственный сектор, а также улучшило свои возможности для окончательного развертывания майнеров криптовалюты на зараженных хостах.
Что нового в последней версии, так это использование уязвимости Log4Shell в качестве вторичного вектора заражения для конкретного выделения внутренних хостов, а не для нацеливания на уязвимые общедоступные ресурсы.
"Когда уязвимость была впервые обнаружена, приоритетным для исправления были приложения, работающие в Интернете, из-за их значительного риска компрометации", - сказал исследователь безопасности Ори Дэвид.
"Напротив, внутренние компьютеры, которые с меньшей вероятностью подвергались эксплуатации, часто игнорировались и оставались не исправленными — обстоятельство, которым FritzFrog пользуется".
Это означает, что даже если интернет-приложения были исправлены, взлом любой другой конечной точки может подвергнуть эксплуатации не исправленные внутренние системы и распространить вредоносное ПО.
Компонент перебора SSH в FritzFrog также претерпел собственные изменения для идентификации конкретных целей SSH путем перечисления нескольких системных журналов для каждой из своих жертв.
Еще одним заметным изменением вредоносного ПО является использование уязвимости PwnKit, отслеживаемой как CVE-2021-4034, для достижения локального повышения привилегий.
"FritzFrog продолжает использовать тактику оставаться скрытым и избегать обнаружения", - сказал Дэвид. "В частности, он проявляет особую осторожность, чтобы по возможности не удалять файлы на диск".
Это достигается с помощью общего хранилища памяти /dev/ shm, которое также используется другими вредоносными программами на базе Linux, такими как BPFDoor и Commando Cat, и memfd_create для выполнения полезных нагрузок, размещенных в памяти.
Раскрытие происходит после того, как компания Akamai обнаружила, что бот-сеть InfectedSlurs активно использует исправленные в настоящее время уязвимости безопасности (от CVE-2024-22768 до CVE-2024-22772 и CVE-2024-23842), воздействуя на несколько моделей видеорегистраторов Hitron Systems для запуска распределенных атак типа "отказ в обслуживании" (DDoS).
"Уязвимость используется методом грубой силы, который пытается нацелиться на как можно большее количество уязвимых Java-приложений", - сказала компания Akamai, занимающаяся веб-инфраструктурой и безопасностью, в отчете, опубликованном в Hacker News.
FritzFrog, впервые задокументированная компанией Guardicore (ныне частью Akamai) в августе 2020 года, представляет собой вредоносное ПО на базе Golang, которое в первую очередь нацелено на серверы, подключенные к Интернету, со слабыми учетными данными SSH. Известно, что оно активно с января 2020 года.
С тех пор оно развилось, чтобы поражать здравоохранение, образование и государственный сектор, а также улучшило свои возможности для окончательного развертывания майнеров криптовалюты на зараженных хостах.
Что нового в последней версии, так это использование уязвимости Log4Shell в качестве вторичного вектора заражения для конкретного выделения внутренних хостов, а не для нацеливания на уязвимые общедоступные ресурсы.
"Когда уязвимость была впервые обнаружена, приоритетным для исправления были приложения, работающие в Интернете, из-за их значительного риска компрометации", - сказал исследователь безопасности Ори Дэвид.
"Напротив, внутренние компьютеры, которые с меньшей вероятностью подвергались эксплуатации, часто игнорировались и оставались не исправленными — обстоятельство, которым FritzFrog пользуется".
Это означает, что даже если интернет-приложения были исправлены, взлом любой другой конечной точки может подвергнуть эксплуатации не исправленные внутренние системы и распространить вредоносное ПО.
Компонент перебора SSH в FritzFrog также претерпел собственные изменения для идентификации конкретных целей SSH путем перечисления нескольких системных журналов для каждой из своих жертв.
Еще одним заметным изменением вредоносного ПО является использование уязвимости PwnKit, отслеживаемой как CVE-2021-4034, для достижения локального повышения привилегий.
"FritzFrog продолжает использовать тактику оставаться скрытым и избегать обнаружения", - сказал Дэвид. "В частности, он проявляет особую осторожность, чтобы по возможности не удалять файлы на диск".
Это достигается с помощью общего хранилища памяти /dev/ shm, которое также используется другими вредоносными программами на базе Linux, такими как BPFDoor и Commando Cat, и memfd_create для выполнения полезных нагрузок, размещенных в памяти.
Раскрытие происходит после того, как компания Akamai обнаружила, что бот-сеть InfectedSlurs активно использует исправленные в настоящее время уязвимости безопасности (от CVE-2024-22768 до CVE-2024-22772 и CVE-2024-23842), воздействуя на несколько моделей видеорегистраторов Hitron Systems для запуска распределенных атак типа "отказ в обслуживании" (DDoS).
