Ein Peer-to-Peer-Golang-Botnetz ist nach mehr als einem Jahr wieder aufgetaucht und hat innerhalb eines Monats Server von Unternehmen aus dem Gesundheits-, Bildungs- und Regierungssektor infiziert, insgesamt 1.500 Hosts.
Das dezentrale Botnet mit dem Namen FritzFrog „zielt auf jedes Gerät ab, das einen SSH-Server offenlegt – Cloud-Instanzen, Rechenzentrumsserver, Router usw. – und ist in der Lage, jede beliebige bösartige Nutzlast auf den infizierten Knoten auszuführen“, so die Forscher von Akamai in einem Bericht an The Hacker News.
Die neue Angriffswelle begann Anfang Dezember 2021 und nahm innerhalb eines Monats um das Zehnfache zu. Im Januar 2022 erreichte sie mit 500 Vorfällen pro Tag ihren Höhepunkt. Das Cybersecurity-Unternehmen gab an, dass es infizierte Rechner in einem europäischen Fernsehsender-Netzwerk, einem russischen Hersteller von Gesundheitsgeräten und mehreren Universitäten in Ostasien entdeckt hat.
FritzFrog wurde zum ersten Mal im August 2020 von Guardicore dokumentiert. Seit Januar dieses Jahres hat das Botnetz mehr als 500 Server in Europa und den USA angegriffen und infiziert. Ein großer Teil der neuen Infektionen befindet sich jedoch in China.
„Fritzfrog verlässt sich auf die Fähigkeit, Dateien über das Netzwerk auszutauschen, um neue Rechner zu infizieren und bösartige Nutzdaten wie den Krypto-Miner Monero auszuführen“, stellte der Sicherheitsforscher Ophir Harpaz im Jahr 2020 fest.
Die Peer-to-Peer (P2P)-Architektur des Botnetzes macht es widerstandsfähig, da jeder kompromittierte Rechner in dem verteilten Netzwerk als Command-and-Control (C2)-Server fungieren kann, im Gegensatz zu einem einzelnen, zentralisierten Host. Das Wiederauftauchen des Botnetzes wurde außerdem von neuen Funktionen begleitet, darunter die Nutzung eines Proxy-Netzwerks und das Angreifen von WordPress-Servern.
Die Infektionskette breitet sich über SSH aus, um eine Malware-Nutzlast abzuwerfen, die dann die vom C2-Server erhaltenen Anweisungen ausführt, um weitere Malware-Binärdateien auszuführen sowie Systeminformationen und Dateien zu sammeln, bevor sie zurück zum Server geschleust werden.
FritzFrog zeichnet sich dadurch aus, dass das verwendete P2P-Protokoll vollständig proprietär ist. Während sich frühere Versionen der Malware als „ifconfig“ und „nginx“ tarnten, versuchen die neueren Varianten, ihre Aktivitäten unter den Namen „apache2“ und „php-fpm“ zu verbergen.
Zu den weiteren neuen Merkmalen der Malware gehören die Verwendung des Secure Copy Protocol (SCP), um sich selbst auf den entfernten Server zu kopieren, eine Tor-Proxy-Verkettung, um ausgehende SSH-Verbindungen zu verschleiern, eine Infrastruktur zum Aufspüren von WordPress-Servern für Folgeangriffe und ein Blocklisten-Mechanismus, um zu verhindern, dass Low-End-Systeme wie Raspberry Pi-Geräte infiziert werden.
„Eine IP in der Blockliste kommt aus Russland. Sie hat mehrere offene Ports und eine lange Liste ungepatchter Sicherheitslücken, so dass es sich möglicherweise um einen Honeypot handelt“, so die Forscher. „Ein zweiter Eintrag verweist auf ein Open-Source-Botnet-Sinkhole. Diese beiden Einträge deuten darauf hin, dass die Betreiber versuchen, sich der Entdeckung und Analyse zu entziehen.“
Die SCP-Funktion könnte auch den ersten Hinweis auf die Herkunft der Malware geliefert haben. Akamai wies darauf hin, dass die in Go geschriebene Bibliothek von einem Nutzer aus der chinesischen Stadt Shanghai auf GitHub geteilt wurde.
Ein zweiter Hinweis, der die Malware mit China in Verbindung bringt, ergibt sich aus der Tatsache, dass eine der neuen Wallet-Adressen, die für das Krypto-Mining verwendet werden, auch im Rahmen der Mozi-Botnet-Kampagne genutzt wurde, deren Betreiber im vergangenen September in China verhaftet wurden.
„Diese Indizien sind zwar nicht erdrückend, lassen uns aber vermuten, dass es eine mögliche Verbindung zu einem in China operierenden Akteur oder einem als Chinesen getarnten Akteur gibt“, so das Fazit der Forscher.