Der Bedrohungsakteur hinter einem Peer-to-Peer (P2P) Botnet namens FritzFrog ist mit einer neuen Variante zurückgekehrt, die die Log4Shell-Schwachstelle nutzt, um sich intern in einem bereits kompromittierten Netzwerk zu verbreiten.
Laut dem Bericht des Webinfrastruktur- und Sicherheitsunternehmens Akamai, der mit The Hacker News geteilt wurde, wird die Schwachstelle auf brute-force-Weise ausgenutzt, wobei möglichst viele anfällige Java-Anwendungen als Ziel anvisiert werden.
FritzFrog wurde erstmals im August 2020 von Guardicore (jetzt Teil von Akamai) dokumentiert und ist eine auf Golang basierende Malware, die hauptsächlich Internet-Server mit schwachen SSH-Anmeldeinformationen angreift. Sie ist seit Januar 2020 aktiv.
Die Malware hat sich weiterentwickelt und zielt nun auch auf die Sektoren Gesundheitswesen, Bildung und Regierung ab. Außerdem hat sie ihre Fähigkeiten verbessert, um letztendlich Kryptowährungs-Miner auf infizierten Hosts einzusetzen.
Was an der neuesten Version neu ist, ist die Verwendung der Log4Shell-Schwachstelle als sekundärer Infektionsvektor, um gezielt interne Hosts anzusprechen anstatt anfällige öffentlich zugängliche Assets zu attackieren.
Auch der SSH-Brute-Force-Komponente von FritzFrog wurde eine Verjüngungskur verpasst. Sie identifiziert nun gezielt SSH-Angriffsziele, indem sie mehrere Systemprotokolle auf jedem ihrer Opfer aufzählt.
Eine weitere bemerkenswerte Änderung in der Malware ist die Verwendung der Schwachstelle PwnKit, die als CVE-2021-4034 verfolgt wird, um höhere Berechtigungen zu erlangen.
„FritzFrog setzt weiterhin Taktiken ein, um verborgen zu bleiben und nicht erkannt zu werden“, sagt der Sicherheitsforscher Ori David. „Insbesondere achtet er sorgfältig darauf, wenn möglich keine Dateien auf der Festplatte abzulegen.“
Dies wird durch den Einsatz des gemeinsam genutzten Speicherorts /dev/shm erreicht, der auch von anderen auf Linux basierenden Malware wie BPFDoor und Commando Cat genutzt wurde. Außerdem werden memfd_create verwendet, um Speicher-residente Payloads auszuführen.
Akamai enthüllte auch, dass das InfectedSlurs-Botnet aktiv Sicherheitslücken ausnutzt, die mittlerweile gepatcht wurden und Modelle von DVR-Geräten von Hitron Systems betreffen, um verteilte Denial-of-Service (DDoS)-Angriffe durchzuführen.