Varijanta dugotrajnog botneta sada zloupotrebljava ranjivost Log4Shell-a, ali nadilazi aplikacije koje su okrenute internetu i cilja na sve hostove u internoj mreži žrtve.
Istraživači iz Akamaija objašnjavaju promjenu u FritzFrog botnetu – koji postoji od 2020. – u izvještaju objavljenom u četvrtak.
Botnet obično koristi brute-force napade da kompromituje SSH, protokol za mrežne veze, da dobije pristup serverima i implementira kriptomajnere. Ali novije varijante sada „čitaju nekoliko sistemskih fajlova na kompromitovanim hostovima kako bi otkrili potencijalne mete za ovaj napad za koje postoji velika vjerovatnoća da će biti ranjivi“, rekli su istraživači.
FritzFrog sada cilja na „što je više moguće ranjivih Java aplikacija“ u kampanji koju Akamai naziva „Frog4Shell“, jer koristi Log4Shell, grešku u široko korišćenom web alatu Log4j otvorenog koda koji je otkriven 2021. i koji je pokrenuo globalni pokušaj pečovanja koju vode desetine vlada i sigurnosnih kompanija.
Napori su bili uglavnom uspješni u zaštiti većine organizacija. Ali istraživači nastavljaju da pronalaze ranjive alate ili sisteme više od dvije godine nakon otkrića greške.
FritzFrog napadi u 2020. kompromitovali su više od 500 servera, uključujući one koji pripadaju bankama, univerzitetima, medicinskim centrima i telekom kompanijama. Botnet je bio neaktivan nekoliko godina prije nego što se vratio 2022. kako bi ponovo zarazio žrtve kriptomajnerima.
Akamai je izjavio da su tokom godina vidjeli više od 20.000 FritzFrog napada i preko 1.500 žrtava.
“Ranjiva sredstva koja se suočavaju s internetom predstavljaju ozbiljan problem, ali FritzFrog zapravo predstavlja rizik za dodatnu vrstu imovine – interne hostove. Kada je ranjivost prvi put otkrivena, aplikacije za internet su bile prioritet za zakrpe zbog njihovog značajnog rizika od kompromitovanja”, rekli su istraživači.
„Nasuprot tome, unutrašnje mašine, za koje je bilo manje šanse da budu eksploatisane, često su bile zanemarene i ostale nezakrpljene – okolnost koju FritzFrog koristi.”
FritzFrog malver pokušava ciljati sve hostove u internoj mreži – što znači da čak i ako su “visokoprofilne” internetske aplikacije zakrpljene, proboj bilo kojeg sredstva u mreži od strane FritzFrog-a može izložiti nezakrpljenu internu imovinu eksploataciji, Akamai objašnjava.
Istraživači su primijetili da druge promjene u FritzFrog malveru uključuju nove mogućnosti eskalacije privilegija, alate za izbjegavanje sajber odbrane i još mnogo toga.
“Vjerujemo da će se ovaj trend nastaviti u nadolazećim verzijama FritzFrog-a, i vjerovatno je samo pitanje vremena kada će se malveru dodati dodatni exploit-i.”
Godine 2022, Akamai je rekao da se oko 37% zaraženih čvorova nalazi u Kini, ali je napomenuo da su žrtve također rasprostranjene po cijelom svijetu.
Na osnovu drugih tragova, oni vjeruju da se operater FritzFrog možda nalazi u Kini ili da se pokušava maskirati kao neko ko živi u Kini, rekli su istraživači 2022.
Izvor: The Record