FritzFrogという名前の洗練されたボットネットは、新しい機能を備えた長い休憩の後に戻ってきました。研究者は、それが中国の脅威アクターにリンクされている可能性があると信じています。
フリッツフロッグ はGolangベースのマルウェアであり、さまざまなアーキテクチャで実行するようにコンパイルでき、完全にメモリ内で動作します。 FritzFrogボットネットは、コマンドアンドコントロール(C&C)通信に独自のピアツーピア(P2P)アーキテクチャを使用します。ボットは中央サーバーからではなく、ネットワーク上の他のデバイスからコマンドを取得します。
FritzFrogはSSHサーバーを標的にしており(単純なブルートフォース手法を使用して資格情報を取得します)、SSHセッションを確立すると、マルウェアをドロップして実行します。
次にマルウェアは、ファイルの転送、スクリプトとバイナリペイロードの実行、暗号通貨マイナーの展開、侵入先のシステムからの他のマイナーの排除など、オペレーターからのコマンドを待ちます。 また、IPアドレスのスキャンを開始してさらに拡散します。
フリッツフロッグは2020年XNUMX月に登場しました 詳細な 2020年2021月にマイクロセグメンテーション技術のスタートアップGuardicoreによって。Guardicoreの警告の直後に、ボットネットは消えたように見えました。 しかし、500年XNUMX月に、新しい機能と多くの攻撃の試みで戻ってきました。攻撃はXNUMX日あたりXNUMXでピークに達しました。
アカマイ、 Guardicoreを買収 2021年に、先週、少なくとも1,500のホストが感染したと警告しました。 コンテンツ配信とセキュリティの巨人は、ボットネットが世界中のクラウドインスタンス、ルーター、データセンターサーバーを標的にしているのが見られたと述べました。
犠牲者の大規模な集中は、中国、中央ヨーロッパ、および米国で見られました。 対象となるセクターには、ヘルスケア、高等教育、政府が含まれ、アカマイが選んだ犠牲者のリストには、ヨーロッパのTVネットワーク、ロシアのヘルスケア機器メーカー、東アジアの大学が含まれます。
Akamaiによると、FritzFrogは頻繁に更新され、その開発者がWordPressサーバーをターゲットにする準備をしている可能性があるという兆候があります。 同社の研究者たちはまた、FritzFrogにはTorプロキシチェーンを作成するための機能が含まれていることに気づきました。 ただし、Torプロキシチェーン機能はまだマルウェアによって使用されていません。
Akamaiによって観察されたその他の変更には、マルウェアが侵害されたサーバーに自分自身をコピーするために利用するパブリックセキュアコピープロトコル(SCP)ライブラリの使用、およびマルウェアが低リソースと特定のIPアドレスを持つシステムを回避することを保証するためのハードコードされたブロックリストが含まれます。たとえば、ボットネットのシンクホールである可能性があります。
FritzFrogが使用するSCPライブラリは、中国の誰かによって開発されたようであり、暗号通貨マイニングアクティビティは、以前は中国の脅威アクターに関連付けられていたウォレットにリンクされています。 さらに、感染したシステムの約XNUMX分のXNUMXが中国にあるようです。
「これらの証拠は、気を悪くすることはありませんが、中国で活動している俳優、または中国人になりすました俳優との関連の可能性があると私たちに信じさせます」とアカマイは言いました。
同社は、侵害の兆候(IOC)と、 無料のツール SSHサーバー上のFritzFrogの存在を検出するために使用できます。
関連する マイクロソフトがより多くのガイダンスを発行するにつれて、MiraiボットネットはOMIGODの欠陥を悪用し始めます
関連する Miraiベースの「マンガ」ボットネットが最近のTP-Linkの脆弱性を標的
関連する 大規模なAndroidボットネットがスマートTV広告エコシステムにヒット
Eduard Kovacs(@EduardKovacs)はSecurityWeekの寄稿編集者です。 彼は高校のIT教師としてXNUMX年間働いた後、Softpediaのセキュリティニュースレポーターとしてジャーナリズムのキャリアを開始しました。 Eduardは、産業情報学の学士号と、電気工学に適用されるコンピューター技術の修士号を取得しています。
タグ:
