Заплахата, която стои зад ботнет от типа peer-to-peer (P2P), известен като FritzFrog, се завръща с нов вариант, който използва уязвимостта Log4Shell за вътрешно разпространение във вече компрометирана мрежа.
„Уязвимостта се експлоатира по метода на грубата сила, който се опитва да се насочи към възможно най-много уязвими Java приложения“, заяви компанията за уеб инфраструктура и сигурност Akamai в доклад, споделен с The Hacker News.
FritzFrog, документирана за първи път от Guardicore (сега част от Akamai) през август 2020 г., е зловреден софтуер, базиран на Golang, който се насочва предимно към сървъри с интернет насоченост и слаби SSH пълномощия. Известно е, че той е активен от януари 2020 г.
Оттогава той еволюира, за да нанася удари по секторите на здравеопазването, образованието и държавното управление, както и подобрява възможностите си за окончателно разполагане на миньори на криптовалути на заразените хостове.
Новото в последната версия е използването на уязвимостта Log4Shell като вторичен вектор на инфекция, за да се отделят конкретно вътрешни хостове, вместо да се насочват към уязвими публично достъпни активи.
„Когато уязвимостта беше открита за пръв път, приложенията, насочени към интернет, бяха приоритизирани за кръпка поради значителния риск от компрометиране“, каза изследователят по сигурността Ори Дейвид.
„За разлика от тях вътрешните машини, за които вероятността да бъдат експлоатирани е по-малка, често са били пренебрегвани и са оставали непоправени – обстоятелство, от което се възползва FritzFrog.“
Това означава, че дори приложенията, насочени към интернет, да са били пакетирани, пробив в друга крайна точка може да изложи непоправените вътрешни системи на експлоатация и да разпространи зловредния софтуер.
Компонентът за груба сила на SSH на FritzFrog също е получил своя собствена промяна, за да идентифицира конкретни цели на SSH, като изброява няколко системни лога на всяка от жертвите си.
Друга забележителна промяна в зловредния софтуер е използването на пропуск в PwnKit, проследен като CVE-2021-4034, за постигане на локално повишаване на привилегиите.
„FritzFrog продължава да използва тактики, за да остане скрит и да избегне откриване“, казва Дейвид. „По-специално, той полага специални грижи да избягва пускането на файлове на диска, когато това е възможно.“
Това се постига с помощта на местоположението на споделената памет /dev/shm, което е използвано и от други Linux-базирани зловредни програми като BPFDoor и Commando Cat, и memfd_create за изпълнение на резидентни в паметта полезни товари.
Разкритието идва в момент, в който Akamai разкри, че ботнетът InfectedSlurs активно използва вече поправени недостатъци в сигурността (от CVE-2024-22768 до CVE-2024-22772 и CVE-2024-23842), засягащи множество модели DVR устройства от Hitron Systems, за да извършва разпределени атаки за отказ на услуга (DDoS).
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.