Търсене
Close this search box.

FritzFrog се завръща с Log4Shell и PwnKit, като разпространява зловреден софтуер в мрежата ви

Заплахата, която стои зад ботнет от типа peer-to-peer (P2P), известен като FritzFrog, се завръща с нов вариант, който използва уязвимостта Log4Shell за вътрешно разпространение във вече компрометирана мрежа.

„Уязвимостта се експлоатира по метода на грубата сила, който се опитва да се насочи към възможно най-много уязвими Java приложения“, заяви компанията за уеб инфраструктура и сигурност Akamai в доклад, споделен с The Hacker News.

FritzFrog, документирана за първи път от Guardicore (сега част от Akamai) през август 2020 г., е зловреден софтуер, базиран на Golang, който се насочва предимно към сървъри с интернет насоченост и слаби SSH пълномощия. Известно е, че той е активен от януари 2020 г.

Оттогава той еволюира, за да нанася удари по секторите на здравеопазването, образованието и държавното управление, както и подобрява възможностите си за окончателно разполагане на миньори на криптовалути на заразените хостове.

Новото в последната версия е използването на уязвимостта Log4Shell като вторичен вектор на инфекция, за да се отделят конкретно вътрешни хостове, вместо да се насочват към уязвими публично достъпни активи.

„Когато уязвимостта беше открита за пръв път, приложенията, насочени към интернет, бяха приоритизирани за кръпка поради значителния риск от компрометиране“, каза изследователят по сигурността Ори Дейвид.

„За разлика от тях вътрешните машини, за които вероятността да бъдат експлоатирани е по-малка, често са били пренебрегвани и са оставали непоправени – обстоятелство, от което се възползва FritzFrog.“

FritzFrog

Това означава, че дори приложенията, насочени към интернет, да са били пакетирани, пробив в друга крайна точка може да изложи непоправените вътрешни системи на експлоатация и да разпространи зловредния софтуер.

Компонентът за груба сила на SSH на FritzFrog също е получил своя собствена промяна, за да идентифицира конкретни цели на SSH, като изброява няколко системни лога на всяка от жертвите си.

Друга забележителна промяна в зловредния софтуер е използването на пропуск в PwnKit, проследен като CVE-2021-4034, за постигане на локално повишаване на привилегиите.

„FritzFrog продължава да използва тактики, за да остане скрит и да избегне откриване“, казва Дейвид. „По-специално, той полага специални грижи да избягва пускането на файлове на диска, когато това е възможно.“

Това се постига с помощта на местоположението на споделената памет /dev/shm, което е използвано и от други Linux-базирани зловредни програми като BPFDoor и Commando Cat, и memfd_create за изпълнение на резидентни в паметта полезни товари.

Разкритието идва в момент, в който Akamai разкри, че ботнетът InfectedSlurs активно използва вече поправени недостатъци в сигурността (от CVE-2024-22768 до CVE-2024-22772 и CVE-2024-23842), засягащи множество модели DVR устройства от Hitron Systems, за да извършва разпределени атаки за отказ на услуга (DDoS).

 

Източник: The Hacker News

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
Бъдете социални
Още по темата
02/04/2024

TheMoon със злонамерен бот...

Остарелите SOHO маршрутизатори и IoT устройства...
23/03/2024

Алабама се бори с DDoS киб...

Хактивистката група Anonymous Sudan претендира за...
08/03/2024

ShellBot разбива SSH сървър...

Ботмрежата, създадена за DDoS, backdooring и...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!