Botnet-i FritzFrog, i identifikuar për herë të parë në vitin 2020, është një botnet i sofistikuar peer-to-peer i krijuar në Golang që ka aftësinë të funksionojë në pajisjet e bazuara në AMD dhe ARM. Malware, i cili është përditësuar vazhdimisht, ka evoluar me kalimin e kohës, duke shtuar dhe përmirësuar veçoritë e tij.

Kohët e fundit, një lloj i ri i botnet-it FritzFrog u zbulua duke shfrytëzuar cenueshmërinë Log4Shell për të synuar të gjithë hostet brenda rrjetit të brendshëm. Përveç kësaj, malware sulmon serverët e aksesueshëm përmes internetit duke përdorur kredenciale të dobëta SSH.

Versionet më të reja të botnet-it FritzFrog janë më të sofistikuara dhe tani lexojnë disa skedarë të sistemit në hostet e komprometuar për të zbuluar objektivat e mundshëm që ka shumë të ngjarë të jenë të cenueshëm. Kjo lejon që malware të identifikojë dhe të shfrytëzojë dobësitë specifike në sistemet e synuara në mënyrë më efikase.

Zinxhiri i shfrytëzimit i përdorur nga FritzFrog ka evoluar me kalimin e kohës. Ndërsa i vetmi vektor infeksioni i përdorur më parë ishte forca brutale SSH, përsëritjet më të fundit të malware kanë shtuar shfrytëzimin Log4Shell, të referuar si "Frog4Shell".

Dobësia Log4Shell u zbulua në mjetin popullor me burim të hapur Log4j në 2021, duke nxitur një përpjekje globale për të rregulluar teknologjinë. Aktualisht, malware synon çdo host në rrjetin e brendshëm si pjesë e rutinës së tij për përhapje, duke u përpjekur të lidhet me çdo adresë në rrjetin lokal.

Sipas studiuesve, kompjuterët e brendshëm, të cilët kishin më pak gjasa për t'u shfrytëzuar, shpesh anashkaloheshin dhe nuk rregulloheshin - një situatë që FritzFrog e shfrytëzon.

FritzFrog ka zgjeruar gjithashtu aftësitë e tij të synimit duke kërkuar serverë HTTP në porte specifike për të identifikuar objektivat e mundshëm Log4Shell. Ai gjithashtu ka përmirësuar aftësinë e tij për të identifikuar objektivat e forcës brutale SSH duke numëruar regjistrat e shumtë të sistemit në secilën prej viktimave të tij dhe duke synuar adresat IP të krijuara rastësisht.

Për më tepër, malware tani përfshin një modul që shfrytëzon CVE-2021-4034, një përshkallëzim privilegji në komponentin polkit Linux, duke lejuar që malware të funksionojë si rrënjë në serverët e cenueshëm.

Në përgjigje të kërcënimit në zhvillim të paraqitur nga FritzFrog, studiuesit kanë rekomanduar zbatimin e segmentimit të rrjetit për të parandaluar lëvizjen anësore të malware. Ata kanë ofruar gjithashtu një skript zbulimi të FritzFrog për përdorim në serverët SSH, i cili kërkon tregues të veçantë të pranisë së malware.

Në përgjithësi, zbulimi dhe evolucioni i vazhdueshëm i botnet-it FritzFrog thekson rëndësinë e vigjilencës së vazhdueshme dhe masave proaktive për të zbutur kërcënimin e paraqitur nga malware i sofistikuar. Ai shërben gjithashtu si një kujtesë e nevojës kritike për përditësime në kohë të softuerit dhe arnime sigurie për t'u mbrojtur nga dobësitë e shfaqura që mund të shfrytëzohen nga aktorët e kërcënimit.

Lidhja e burimit