Một mạng botnet ngang hàng Golang đã xuất hiện trở lại sau hơn một năm để xâm nhập máy chủ của các tổ chức thuộc lĩnh vực y tế, giáo dục và chính phủ trong vòng một tháng, lây nhiễm tổng cộng 1,500 máy chủ.
Được mệnh danh là FritzẾch, "Mạng botnet phi tập trung nhắm mục tiêu vào bất kỳ thiết bị nào để lộ máy chủ SSH - các phiên bản đám mây, máy chủ trung tâm dữ liệu, bộ định tuyến, v.v. - và có khả năng chạy bất kỳ tải trọng độc hại nào trên các nút bị nhiễm", các nhà nghiên cứu của Akamai cho biết trong một báo cáo đã chia sẻ với The Hacker News.
Làn sóng tấn công mới bắt đầu vào đầu tháng 2021 năm 10, chỉ để tăng tốc độ và ghi nhận mức tăng 500 lần về tỷ lệ lây nhiễm của nó trong thời gian một tháng, trong khi đạt đỉnh 2022 sự cố mỗi ngày vào tháng XNUMX năm XNUMX. Công ty an ninh mạng cho biết họ đã phát hiện các máy bị nhiễm trong một mạng lưới kênh truyền hình châu Âu, một nhà sản xuất thiết bị chăm sóc sức khỏe của Nga và nhiều trường đại học ở Đông Á.
FritzFrog cũ là tài liệu đầu tiên bởi Guardicore vào tháng 2020 năm 500, xây dựng trình độ của botnet để tấn công và lây nhiễm hơn XNUMX máy chủ trải dài khắp Châu Âu và Hoa Kỳ kể từ tháng XNUMX năm đó. Mặt khác, một tập trung lớn các ca lây nhiễm mới nằm ở Trung Quốc.
Nhà nghiên cứu bảo mật Ophir Harpaz nhận xét: “Fritzfrog dựa vào khả năng chia sẻ tệp qua mạng, để lây nhiễm sang các máy mới và chạy các tải trọng độc hại, chẳng hạn như công cụ khai thác tiền điện tử Monero”.
Kiến trúc ngang hàng (P2P) của botnet làm cho nó có khả năng phục hồi ở chỗ mọi máy bị xâm nhập trong mạng phân tán đều có thể hoạt động như một máy chủ chỉ huy và kiểm soát (C2) thay vì một máy chủ tập trung duy nhất. Hơn nữa, sự xuất hiện trở lại của mạng botnet đã đi kèm với các bổ sung mới cho chức năng của nó, bao gồm việc sử dụng mạng proxy và nhắm mục tiêu các máy chủ WordPress.
Chuỗi lây nhiễm lan truyền qua SSH để giảm tải phần mềm độc hại, sau đó thực thi các hướng dẫn nhận được từ máy chủ C2 để chạy các tệp nhị phân phần mềm độc hại bổ sung cũng như thu thập thông tin hệ thống và tệp, trước khi lấy chúng trở lại máy chủ.
FritzFrog đáng chú ý vì giao thức P2P được sử dụng là hoàn toàn độc quyền. Trong khi các phiên bản trước của quy trình phần mềm độc hại được giả danh là “ifconfig” và “nginx”, các biến thể gần đây cố gắng che giấu hoạt động của chúng dưới tên “apache2” và “php-fpm”.
Các đặc điểm mới khác được tích hợp vào phần mềm độc hại bao gồm việc sử dụng giao thức sao chép an toàn (SCP) để sao chép chính nó vào máy chủ từ xa, chuỗi proxy Tor để che dấu các kết nối SSH gửi đi, cơ sở hạ tầng để theo dõi máy chủ WordPress về các cuộc tấn công tiếp theo và cơ chế danh sách chặn để tránh lây nhiễm các hệ thống cấp thấp như thiết bị Raspberry Pi.
“Một IP trong danh sách chặn là từ Nga. Nó có nhiều cổng mở và một danh sách dài các lỗ hổng chưa được vá, vì vậy nó có thể là một honeypot, ”các nhà nghiên cứu cho biết. “Ngoài ra, một mục thứ hai dẫn đến một lỗ hổng mạng botnet mã nguồn mở. Hai mục này cho thấy rằng các nhà khai thác đang cố gắng trốn tránh sự phát hiện và phân tích. "
Việc đưa tính năng SCP vào cũng có thể cho manh mối đầu tiên về nguồn gốc của phần mềm độc hại. Akamai chỉ ra rằng thư viện, được viết bằng Go, đã đã chia sẻ trên GitHub bởi một người dùng ở thành phố Thượng Hải của Trung Quốc.
Một thông tin thứ hai liên kết phần mềm độc hại với Trung Quốc bắt nguồn từ thực tế là một trong những địa chỉ ví mới được sử dụng để khai thác tiền điện tử cũng được sử dụng như một phần của Chiến dịch mạng botnet Mozi, những người điều hành đã bị bắt ở Trung Quốc vào tháng XNUMX năm ngoái.
Các nhà nghiên cứu kết luận: “Những điểm bằng chứng này, tuy không đáng nguyền rủa, nhưng khiến chúng tôi tin rằng có một mối liên hệ có thể tồn tại với một diễn viên hoạt động ở Trung Quốc hoặc một diễn viên giả dạng người Trung Quốc,” các nhà nghiên cứu kết luận.
