Заплахата, която стои зад ботнет от типа peer-to-peer (P2P), известен като FritzFrog, се завръща с нов вариант, който използва уязвимостта Log4Shell за вътрешно разпространение във вече компрометирана мрежа.

„Уязвимостта се експлоатира по метода на грубата сила, който се опитва да се насочи към възможно най-много уязвими Java приложения“, заяви компанията за уеб инфраструктура и сигурност Akamai в доклад, споделен с The Hacker News.

FritzFrog, документирана за първи път от Guardicore (сега част от Akamai) през август 2020 г., е зловреден софтуер, базиран на Golang, който се насочва предимно към сървъри с интернет насоченост и слаби SSH пълномощия. Известно е, че той е активен от януари 2020 г.

Оттогава той еволюира, за да нанася удари по секторите на здравеопазването, образованието и държавното управление, както и подобрява възможностите си за окончателно разполагане на миньори на криптовалути на заразените хостове.

Новото в последната версия е използването на уязвимостта Log4Shell като вторичен вектор на инфекция, за да се отделят конкретно вътрешни хостове, вместо да се насочват към уязвими публично достъпни активи.

„Когато уязвимостта беше открита за пръв път, приложенията, насочени към интернет, бяха приоритизирани за кръпка поради значителния риск от компрометиране“, каза изследователят по сигурността Ори Дейвид.

„За разлика от тях вътрешните машини, за които вероятността да бъдат експлоатирани е по-малка, често са били пренебрегвани и са оставали непоправени – обстоятелство, от което се възползва FritzFrog.“

FritzFrog

Това означава, че дори приложенията, насочени към интернет, да са били пакетирани, пробив в друга крайна точка може да изложи непоправените вътрешни системи на експлоатация и да разпространи зловредния софтуер.

Компонентът за груба сила на SSH на FritzFrog също е получил своя собствена промяна, за да идентифицира конкретни цели на SSH, като изброява няколко системни лога на всяка от жертвите си.

Друга забележителна промяна в зловредния софтуер е използването на пропуск в PwnKit, проследен като CVE-2021-4034, за постигане на локално повишаване на привилегиите.

„FritzFrog продължава да използва тактики, за да остане скрит и да избегне откриване“, казва Дейвид. „По-специално, той полага специални грижи да избягва пускането на файлове на диска, когато това е възможно.“

Това се постига с помощта на местоположението на споделената памет /dev/shm, което е използвано и от други Linux-базирани зловредни програми като BPFDoor и Commando Cat, и memfd_create за изпълнение на резидентни в паметта полезни товари.

Разкритието идва в момент, в който Akamai разкри, че ботнетът InfectedSlurs активно използва вече поправени недостатъци в сигурността (от CVE-2024-22768 до CVE-2024-22772 и CVE-2024-23842), засягащи множество модели DVR устройства от Hitron Systems, за да извършва разпределени атаки за отказ на услуга (DDoS).

 

Източник: The Hacker News

Подобни публикации

18 февруари 2025

Infostealer е открит в американски военни и отб...

Израелската фирма за киберсигурност Hudson Rock твърди, че в америк...
18 февруари 2025

Десетки италиански уебсайтове са обект на руски...

По данни на италианската национална агенция за киберсигурност ACN о...
18 февруари 2025

Киберпрестъпниците крадат мощта на ИИ, а вие пл...

Атакуващите използват големи езикови модели (LLM) в т.нар. експлойт...
18 февруари 2025

Cisco: Новите смарт суичове осигуряват следващо...

Cisco твърди, че новите интелигентни суичове и решения за защитна с...
17 февруари 2025

Японски художник излага оковано във верига куче...

Изложба в галерия в Токио, в която оковано във верига куче-робот се...
17 февруари 2025

Русия насочва организациите към фишинг с код на...

Свързана с Русия заплаха, проследена като Storm-2372, е насочена къ...
Бъдете социални
Още по темата
18/02/2025

Десетки италиански уебсайто...

По данни на италианската национална агенция...
09/02/2025

Мащабна атака с груба сила ...

В ход е широкомащабна  атака с...
30/01/2025

Ботнетът Aquabot е насочен ...

Този месец семейство зловреден софтуер, базирано...
Последно добавени
18/02/2025

Infostealer е открит в амер...

Израелската фирма за киберсигурност Hudson Rock...
18/02/2025

Десетки италиански уебсайто...

По данни на италианската национална агенция...
18/02/2025

Киберпрестъпниците крадат м...

Атакуващите използват големи езикови модели (LLM)...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!