Децентрализованный ботнет, получивший название «FritzFrog», «нацелен на любое устройство, имеющее удаленный доступ по протоколу SSH - облачные инстансы, сервера центров обработки данных, маршрутизаторы и т.д. - и способен запускать любую вредоносную полезную нагрузку на зараженных узлах» - сообщили исследователи Akamai в отчете, предоставленном изданию The Hacker News.
Новая волна атак началась в начале декабря 2021 года, затем набрала темп и достигла 10-кратного роста числа заражений через месяц, а в январе 2022 года наблюдалось до 500 инцидентов в день. Исследователи кибербезопасности заявили, что обнаружили зараженные компьютеры в сетях европейских телеканалов, у российского производителя медицинского оборудования и в нескольких университетах в Восточной Азии.
Впервые FritzFrog был задокументирован компанией Guardicore в августе 2020 года. С января того же года ботнет смог заразить более 500 серверов в Европе и США. Большая часть новых заражений, с другой стороны, находится в Китае.
«Fritzfrog полагается на возможность обмена файлами по сети, как для заражения новых машин, так и для запуска вредоносных полезных нагрузок, таких как майнер криптовалюты Monero» - отметил исследователь безопасности Офир Харпаз в 2020 году.
Одноранговая (P2P) архитектура ботнета делает его устойчивым, поскольку каждая взломанная машина в распределенной сети может выступать в качестве командно-контрольного сервера в отличие от систем с одним централизованным управляющим узлом. Более того, повторное появление ботнета сопровождалось новыми дополнениями в его функциональности, включая использование прокси-сети и атаки на серверы WordPress.
Цепочка заражения использует SSH для сброса полезной нагрузки, которая затем выполняет полученные с CnC-сервера инструкции в целях запуска дополнительных двоичных файлов вредоносного ПО, а также сбора системной информации и файлов, после чего передает данные обратно на сервер.
FritzFrog примечателен тем, что используемый протокол P2P полностью проприетарный. Если ранние версии вредоносного процесса маскировались под «ifconfig» и «nginx», то последние варианты пытаются скрыть свою деятельность под именами «apache2» и «php-fpm».
Другие новые черты вредоносной программы - использование протокола безопасного копирования (SCP) для копирования себя на удаленный сервер, цепочку Tor-прокси для маскировки исходящих SSH-соединений, инфраструктуру для отслеживания серверов WordPress для последующих атак, а также механизм блок-листа, позволяющий избежать заражения систем низкого класса, таких как устройства Raspberry Pi.
«Один IP-адрес в блок-листе - из России. Он имеет несколько открытых портов и длинный список непропатченных уязвимостей, так что это может быть honeypot» - заявляют исследователи. «Кроме того, вторая запись указывает на ботнет-ловушку с открытым исходным кодом. Эти две записи говорят о том, что операторы пытаются уклоняться от обнаружения и анализа».
Включение функции SCP также могло дать первую подсказку о происхождении вредоносной программы. Исследователи Akamai отметили, что библиотека, написанная на языке Go, была выложена на GitHub пользователем, находящимся в китайском городе Шанхай.
Вторая часть информации, связывающая вредоносную программу с Китаем, связана с тем, что один из новых адресов кошельков, используемых для добычи криптовалют, также использовался в рамках кампании ботнета Mozi, операторы которого были арестованы в Китае в сентябре прошлого года.
«Эти следы, хотя и не являются окончательными, заставляют нас предположить, что существует возможная связь с агентом, действующим в Китае, или агентом, маскирующимся под китайца» - заключили исследователи.
Источник: https://thehackernews.com
