Eşler arası bir Golang botnet, bir yıldan uzun bir süre sonra yeniden ortaya çıktı ve bir ay içinde sağlık, eğitim ve devlet sektörlerindeki kuruluşlara ait sunucuları tehlikeye atarak toplam 1.500 ana bilgisayara bulaştı.
dublajlı FritzFrogAkamai araştırmacıları, “Merkezi olmayan botnet, bir SSH sunucusunu (bulut örnekleri, veri merkezi sunucuları, yönlendiriciler vb.) açığa çıkaran ve virüslü düğümlerde herhangi bir kötü amaçlı yükü çalıştırabilen herhangi bir cihazı hedef alıyor” dedi. bildiri Hacker News ile paylaşıldı.
Yeni saldırı dalgası, Aralık 2021’in başlarında başladı, ancak bir ay içinde hızlanıp enfeksiyon oranında 10 kat artış kaydederken, Ocak 2022’de günde 500 vakayla zirveye ulaştı. Siber güvenlik firması, virüslü makineleri tespit ettiğini söyledi. bir Avrupa televizyon kanalı ağı, bir Rus sağlık ekipmanı üreticisi ve Doğu Asya’daki birçok üniversite.
FritzFrog, ilk olarak Ağustos 2020’de Guardicore tarafından belgelendi ve botnet’in o yılın Ocak ayından bu yana Avrupa ve ABD’de 500’den fazla sunucuya saldırma ve bu sunuculara bulaşma konusundaki yetkinliğini detaylandırdı. Öte yandan, yeni enfeksiyonların büyük bir konsantrasyonu Çin’de bulunuyor.
Güvenlik araştırmacısı Ophir Harpaz 2020’de “Fritzfrog, hem yeni makinelere bulaşmak hem de Monero kripto madencisi gibi kötü niyetli yükleri çalıştırmak için ağ üzerinden dosya paylaşma yeteneğine güveniyor” dedi.
Botnet’in eşler arası (P2P) mimarisi, dağıtılmış ağdaki güvenliği ihlal edilmiş her makinenin tek, merkezi bir ana bilgisayarın aksine bir komut ve kontrol (C2) sunucusu olarak hareket edebilmesini esnek hale getirir. Dahası, botnet’in yeniden ortaya çıkışına, bir proxy ağının kullanımı ve WordPress sunucularının hedeflenmesi de dahil olmak üzere işlevselliğine yeni eklemeler eşlik etti.
Bulaşma zinciri, kötü amaçlı yazılım yükünü düşürmek için SSH üzerinden yayılır ve daha sonra C2 sunucusundan alınan yönergeleri çalıştırarak ek kötü amaçlı yazılım ikili dosyalarını çalıştırmanın yanı sıra bunları sunucuya geri sızdırmadan önce sistem bilgilerini ve dosyalarını toplar.
FritzFrog, kullanılan P2P protokolünün tamamen tescilli olmasıyla dikkat çekiyor. Kötü amaçlı yazılımın önceki sürümleri “ifconfig” ve “nginx” olarak gizlenirken, son sürümler etkinliklerini “apache2” ve “php-fpm” adları altında gizlemeye çalışıyor.
Kötü amaçlı yazılıma dahil edilen diğer yeni özellikler arasında güvenli kopyalama protokolü (SCP) kendisini uzak sunucuya kopyalamak, giden SSH bağlantılarını maskelemek için bir Tor proxy zinciri, takip eden saldırılar için WordPress sunucularını izlemek için bir altyapı ve Raspberry Pi cihazları gibi düşük kaliteli sistemlere bulaşmayı önlemek için bir engelleme listesi mekanizması.
Araştırmacılar, “Engellenenler listesindeki bir IP Rusya’dan. Birden fazla açık bağlantı noktası ve uzun bir yama uygulanmamış güvenlik açığı listesi var, bu nedenle bir bal küpü olabilir” dedi. “Ayrıca, ikinci bir giriş açık kaynaklı bir botnet çukuruna işaret ediyor. Bu iki giriş, operatörlerin tespit ve analizden kaçınmaya çalıştıklarını gösteriyor.”
SCP özelliğinin dahil edilmesi, kötü amaçlı yazılımın kökenine ilişkin ilk ipucunu da vermiş olabilir. Akamai, Go ile yazılmış kütüphanenin GitHub’da paylaşıldı Çin’in Şanghay şehrinde bulunan bir kullanıcı tarafından.
Kötü amaçlı yazılımı Çin’e bağlayan ikinci bir bilgi, kripto madenciliği için kullanılan yeni cüzdan adreslerinden birinin, operatörleri geçen Eylül ayında Çin’de tutuklanan Mozi botnet kampanyasının bir parçası olarak kullanılması gerçeğinden kaynaklanıyor.
Araştırmacılar, “Bu kanıt noktaları, lanetlemese de, Çin’de faaliyet gösteren bir aktörle veya Çinli gibi davranan bir aktörle olası bir bağlantının var olduğuna inanmamıza neden oluyor” dedi.