Търсене
Close this search box.

Заплахата, която стои зад ботнет от типа peer-to-peer (P2P), известен като FritzFrog, се завръща с нов вариант, който използва уязвимостта Log4Shell за вътрешно разпространение във вече компрометирана мрежа.

„Уязвимостта се експлоатира по метода на грубата сила, който се опитва да се насочи към възможно най-много уязвими Java приложения“, заяви компанията за уеб инфраструктура и сигурност Akamai в доклад, споделен с The Hacker News.

FritzFrog, документирана за първи път от Guardicore (сега част от Akamai) през август 2020 г., е зловреден софтуер, базиран на Golang, който се насочва предимно към сървъри с интернет насоченост и слаби SSH пълномощия. Известно е, че той е активен от януари 2020 г.

Оттогава той еволюира, за да нанася удари по секторите на здравеопазването, образованието и държавното управление, както и подобрява възможностите си за окончателно разполагане на миньори на криптовалути на заразените хостове.

Новото в последната версия е използването на уязвимостта Log4Shell като вторичен вектор на инфекция, за да се отделят конкретно вътрешни хостове, вместо да се насочват към уязвими публично достъпни активи.

„Когато уязвимостта беше открита за пръв път, приложенията, насочени към интернет, бяха приоритизирани за кръпка поради значителния риск от компрометиране“, каза изследователят по сигурността Ори Дейвид.

„За разлика от тях вътрешните машини, за които вероятността да бъдат експлоатирани е по-малка, често са били пренебрегвани и са оставали непоправени – обстоятелство, от което се възползва FritzFrog.“

FritzFrog

Това означава, че дори приложенията, насочени към интернет, да са били пакетирани, пробив в друга крайна точка може да изложи непоправените вътрешни системи на експлоатация и да разпространи зловредния софтуер.

Компонентът за груба сила на SSH на FritzFrog също е получил своя собствена промяна, за да идентифицира конкретни цели на SSH, като изброява няколко системни лога на всяка от жертвите си.

Друга забележителна промяна в зловредния софтуер е използването на пропуск в PwnKit, проследен като CVE-2021-4034, за постигане на локално повишаване на привилегиите.

„FritzFrog продължава да използва тактики, за да остане скрит и да избегне откриване“, казва Дейвид. „По-специално, той полага специални грижи да избягва пускането на файлове на диска, когато това е възможно.“

Това се постига с помощта на местоположението на споделената памет /dev/shm, което е използвано и от други Linux-базирани зловредни програми като BPFDoor и Commando Cat, и memfd_create за изпълнение на резидентни в паметта полезни товари.

Разкритието идва в момент, в който Akamai разкри, че ботнетът InfectedSlurs активно използва вече поправени недостатъци в сигурността (от CVE-2024-22768 до CVE-2024-22772 и CVE-2024-23842), засягащи множество модели DVR устройства от Hitron Systems, за да извършва разпределени атаки за отказ на услуга (DDoS).

 

Източник: The Hacker News

Подобни публикации

11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
10 октомври 2024

Marriott се съгласи да плати 52 млн. долара и д...

Marriott International се съгласи да плати 52 млн. долара и да напр...
Бъдете социални
Още по темата
08/10/2024

Белгия под киберобсада

Кибератака е засегнала онлайн услугите на...
03/10/2024

Рекордна DDoS атака достигн...

Фирмата за уеб производителност и сигурност...
01/08/2024

CISA и ФБР: DDoS атаките ня...

CISA и ФБР заявиха днес, че...
Последно добавени
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!