Een peer-to-peer Golang-botnet is na meer dan een jaar opgedoken om servers van entiteiten in de gezondheidszorg, het onderwijs en de overheid binnen een tijdsbestek van een maand te compromitteren en in totaal 1.500 hosts te infecteren.
nagesynchroniseerd FritzFrog“het gedecentraliseerde botnet richt zich op elk apparaat dat een SSH-server blootlegt – cloudinstanties, datacenterservers, routers, enz. – en is in staat om elke kwaadaardige payload op geïnfecteerde knooppunten uit te voeren”, aldus Akamai-onderzoekers in een verslag doen van gedeeld met The Hacker News.
De nieuwe golf van aanvallen begon begin december 2021, maar versnelde en registreerde een 10x groei van het infectiepercentage in een maand tijd, terwijl het piekte op 500 incidenten per dag in januari 2022. Het cyberbeveiligingsbedrijf zei dat het geïnfecteerde machines ontdekte in een Europees televisienetwerk, een Russische fabrikant van medische apparatuur en meerdere universiteiten in Oost-Azië.
FritzFrog werd voor het eerst gedocumenteerd door Guardicore in augustus 2020, waarbij de vaardigheid van het botnet werd uitgewerkt om sinds januari van dat jaar meer dan 500 servers in heel Europa en de VS aan te vallen en te infecteren. Een grote concentratie van de nieuwe besmettingen bevindt zich daarentegen in China.
“Fritzfrog vertrouwt op de mogelijkheid om bestanden via het netwerk te delen, zowel om nieuwe machines te infecteren als om kwaadaardige payloads uit te voeren, zoals de Monero cryptominer”, constateerde beveiligingsonderzoeker Ophir Harpaz in 2020.
De peer-to-peer (P2P)-architectuur van het botnet maakt het veerkrachtig doordat elke gecompromitteerde machine in het gedistribueerde netwerk kan fungeren als een command-and-control (C2) -server in plaats van een enkele, gecentraliseerde host. Bovendien is de terugkeer van het botnet gepaard gegaan met nieuwe toevoegingen aan de functionaliteit, waaronder het gebruik van een proxynetwerk en de targeting van WordPress-servers.
De infectieketen verspreidt zich via SSH om een malware-payload te laten vallen die vervolgens instructies uitvoert die zijn ontvangen van de C2-server om extra malware-binaries uit te voeren en om systeeminformatie en bestanden te verzamelen, voordat ze terug naar de server worden geëxfiltreerd.
FritzFrog valt op door het feit dat het gebruikte P2P-protocol volledig gepatenteerd is. Terwijl eerdere versies van het malwareproces zich voordeden als “ifconfig” en “nginx”, proberen de recente varianten hun activiteiten te verbergen onder de namen “apache2” en “php-fpm”.
Andere nieuwe eigenschappen die in de malware zijn opgenomen, zijn onder meer het gebruik van een beveiligd kopieerprotocol (SCP) om zichzelf naar de externe server te kopiëren, een Tor-proxyketen om uitgaande SSH-verbindingen te maskeren, een infrastructuur om WordPress-servers te volgen voor vervolgaanvallen en een blokkeerlijstmechanisme om te voorkomen dat low-end systemen zoals Raspberry Pi-apparaten worden geïnfecteerd.
“Eén IP in de blokkeerlijst komt uit Rusland. Het heeft meerdere open poorten en een lange lijst van niet-gepatchte kwetsbaarheden, dus het kan een honeypot zijn”, aldus de onderzoekers. “Bovendien wijst een tweede ingang naar een open-source botnet-sinkhole. Deze twee ingangen suggereren dat de operators detectie en analyse proberen te omzeilen.”
De opname van de SCP-functie heeft mogelijk ook de eerste aanwijzing gegeven over de oorsprong van de malware. Akamai wees erop dat de bibliotheek, geschreven in Go, is gedeeld op GitHub door een gebruiker in de Chinese stad Shanghai.
Een tweede stukje informatie dat de malware aan China koppelt, komt voort uit het feit dat een van de nieuwe portemonnee-adressen die werden gebruikt voor cryptomining ook werd gebruikt als onderdeel van de Mozi-botnetcampagne, waarvan de operators afgelopen september in China werden gearresteerd.
“Deze bewijzen, hoewel ze niet vernietigend zijn, doen ons geloven dat er een mogelijk verband bestaat met een acteur die in China opereert, of een acteur die zich voordoet als Chinees”, concludeerden de onderzoekers.
