La botnet FritzFrog P2P ataca los sectores de salud, educación y gobierno

Red de bots FritzFrog P2P Noticias

Una botnet peer-to-peer Golang ha resurgido después de más de un año para comprometer servidores pertenecientes a entidades en los sectores de salud, educación y gobierno en un lapso de un mes, infectando un total de 1500 hosts.

Doblado FritzFrog«la botnet descentralizada apunta a cualquier dispositivo que exponga un servidor SSH (instancias en la nube, servidores de centros de datos, enrutadores, etc.) y es capaz de ejecutar cualquier carga maliciosa en los nodos infectados», dijeron los investigadores de Akamai en un reporte compartido con The Hacker News.

La nueva ola de ataques comenzó a principios de diciembre de 2021, solo para acelerar y registrar un crecimiento de 10 veces en su tasa de infección en un mes, mientras alcanzaba un máximo de 500 incidentes por día en enero de 2022. La empresa de ciberseguridad dijo que detectó máquinas infectadas en una red de canales de televisión europea, un fabricante ruso de equipos de atención médica y varias universidades en el este de Asia.

FritzFrog fue documentado por primera vez por Guardicore en agosto de 2020, elaborando la competencia de la botnet para atacar e infectar más de 500 servidores en Europa y EE. UU. desde enero de ese año. Una gran concentración de las nuevas infecciones, por otro lado, se encuentra en China.

«Fritzfrog se basa en la capacidad de compartir archivos a través de la red, tanto para infectar nuevas máquinas como para ejecutar cargas maliciosas, como el criptominero Monero», observó el investigador de seguridad Ophir Harpaz en 2020.

La arquitectura peer-to-peer (P2P) de la botnet la hace resistente en el sentido de que cada máquina comprometida en la red distribuida puede actuar como un servidor de comando y control (C2) en lugar de un único host centralizado. Además, la reaparición de la botnet ha ido acompañada de nuevas incorporaciones a su funcionalidad, incluido el uso de una red proxy y la orientación de los servidores de WordPress.

La cadena de infección se propaga a través de SSH para soltar una carga útil de malware que luego ejecuta las instrucciones recibidas del servidor C2 para ejecutar archivos binarios de malware adicionales y recopilar información y archivos del sistema, antes de exfiltrarlos de nuevo al servidor.

Red de bots FritzFrog P2P

FritzFrog se destaca por el hecho de que el protocolo P2P utilizado es completamente propietario. Mientras que las versiones anteriores del proceso de malware se hacían pasar por «ifconfig» y «nginx», las variantes recientes intentan ocultar sus actividades bajo los nombres «apache2» y «php-fpm».

Otras características nuevas incorporadas al malware incluyen el uso del protocolo de copia segura (SCP) para copiarse en el servidor remoto, un encadenamiento de proxy Tor para enmascarar las conexiones SSH salientes, una infraestructura para rastrear los servidores de WordPress en busca de ataques de seguimiento y un mecanismo de lista de bloqueo para evitar infectar sistemas de gama baja como los dispositivos Raspberry Pi.

«Una IP en la lista de bloqueo es de Rusia. Tiene múltiples puertos abiertos y una larga lista de vulnerabilidades sin parchear, por lo que puede ser un honeypot», dijeron los investigadores. «Además, una segunda entrada apunta a un sumidero de botnet de código abierto. Estas dos entradas sugieren que los operadores están intentando evadir la detección y el análisis».

La inclusión de la función SCP también puede haber dado la primera pista sobre los orígenes del malware. Akamai señaló que la biblioteca, escrita en Go, ha sido compartido en GitHub por un usuario ubicado en la ciudad china de Shanghai.

Una segunda información que vincula el malware con China proviene del hecho de que una de las nuevas direcciones de billetera empleadas para la criptominería también se usó como parte de la campaña de botnet Mozi, cuyos operadores fueron arrestados en China en septiembre pasado.

«Estos puntos de evidencia, aunque no son condenatorios, nos llevan a creer que existe un posible vínculo con un actor que opera en China, o un actor que se hace pasar por chino», concluyeron los investigadores.

David
Rate author
Hackarizona