L’acteur menaçant derrière un botnet peer-to-peer (P2P) connu sous le nom de FritzGrenouille a fait son retour avec une nouvelle variante qui exploite la vulnérabilité Log4Shell pour se propager en interne au sein d’un réseau déjà compromis.
« La vulnérabilité est exploitée de manière brutale en tentant de cibler autant d’applications Java vulnérables que possible », a déclaré Akamai, société d’infrastructure et de sécurité Web. dit dans un rapport partagé avec The Hacker News.
FritzFrog, documenté pour la première fois par Guardicore (qui fait désormais partie d’Akamai) en août 2020, est un malware basé sur Golang qui cible principalement les serveurs Internet dotés d’informations d’identification SSH faibles. On sait qu’il est actif depuis janvier 2020.
Depuis, il a évolué pour frapper les secteurs de la santé, de l’éducation et du gouvernement, et a amélioré ses capacités pour finalement déployer des mineurs de cryptomonnaie sur des hôtes infectés.
Ce qui est nouveau dans la dernière version, c’est l’utilisation de la vulnérabilité Log4Shell comme vecteur d’infection secondaire pour cibler spécifiquement les hôtes internes plutôt que de cibler les actifs vulnérables accessibles au public.
« Lorsque la vulnérabilité a été découverte pour la première fois, les applications Internet ont été prioritaires pour les correctifs en raison de leur risque important de compromission », a déclaré le chercheur en sécurité Ori David.
« En revanche, les machines internes, moins susceptibles d’être exploitées, étaient souvent négligées et restaient sans correctifs – une circonstance dont FritzFrog profite. »
Cela signifie que même si les applications Internet ont été corrigées, une violation de tout autre point final peut exposer les systèmes internes non corrigés à l’exploitation et propager le logiciel malveillant.
Le composant de force brute SSH de FritzFrog a également fait peau neuve pour identifier des cibles SSH spécifiques en énumérant plusieurs journaux système sur chacune de ses victimes.
Un autre changement notable dans le logiciel malveillant est l’utilisation de la faille PwnKit identifiée comme CVE-2021-4034 pour obtenir une élévation de privilèges locale.
« FritzFrog continue d’employer des tactiques pour rester caché et éviter d’être détecté », a déclaré David. « En particulier, il faut faire particulièrement attention à éviter de déposer des fichiers sur le disque lorsque cela est possible. »
Ceci est accompli au moyen de l’emplacement de mémoire partagée /dev/shm, qui a également été utilisé par d’autres logiciels malveillants basés sur Linux tels que BPFDoor et Commando Cat, et memfd_create pour exécuter des charges utiles résidant en mémoire.
La divulgation intervient alors qu’Akamai révélé que le botnet InfectedSlurs exploite activement failles de sécurité désormais corrigées (de CVE-2024-22768 à CVE-2024-22772 et CVE-2024-23842) affectant plusieurs modèles d’appareils DVR de Hitron Systems pour lancer des attaques par déni de service distribué (DDoS).