FritzFrog –Das Comeback

FritzFrog ist ein Peer-to-Peer-Botnetz, d. h. sein Befehls- und Kontrollserver ist nicht auf einen einzigen, zentralisierten Rechner beschränkt, sondern kann von jedem Rechner in seinem verteilten Netzwerk aus gesteuert werden. Mit anderen Worten: Jeder Host, auf dem der Malware-Prozess läuft, wird Teil des Netzwerks und ist in der Lage, die Befehle zur Steuerung von Rechnern im Netzwerk zu senden, zu empfangen und auszuführen.

FritzFrog verbreitet sich über SSH. Sobald er die Anmeldeinformationen eines Servers mithilfe einer einfachen (aber aggressiven) Brute-Force-Technik gefunden hat, baut er eine SSH-Sitzung mit dem neuen Opfer auf und legt die ausführbare Malware auf dem Host ab. Die Malware beginnt dann zu lauschen und auf Befehle zu warten. Zu diesen Befehlen gehören der Austausch von Zielen, die Weitergabe von Details über kompromittierte Rechner und die Übertragung von Dateien sowie die Ausführung von Skripten und binären Nutzdaten.

Unmittelbar nach der Veröffentlichung der Details über das P2P-Botnetz „FritzFrog“ (August 2020), das für Brute-Force-Massenangriffe auf SSH-Server verantwortlich ist, hat das Guardicore Labs Team (jetzt Akamai Threat Labs) einen starken Rückgang der Angriffsaktivitäten beobachtet. Anfang Dezember 2021 sind die Angriffe wieder stark gestiegen.

Das dezentrale Botnetz greift alle Geräte an, die offenen Zugang zu einem SSH-Service bieten – Cloud-Instanzen, Server in Rechenzentren, Router usw. – und kann auf infizierten Knoten Malware jeder Art ausführen.

Ein FritzFrog-Angriff beginnt mit einem SSH-Brute-Force-Angriff und wird mit einer Datei fortgesetzt, die abgelegt und ausgeführt wird. Diese Datei beginnt sofort, Port 1234 zu überwachen und Tausende von Internet-IP-Adressen über Port 22 und 2222 zu scannen.

Ein Unterschied zwischen den alten FritzFrog-Angriffen und den neuen Angriffen ist der Name des bösartigen Prozesses. In der ersten Runde der Angriffe hieß der bösartige Prozess ifconfig oder nginx; dieses Mal wählten die FritzFrog-Betreiber den Namen apache2.

FritzFrog hat eine neue Version veröffentlicht, die die Infrastruktur für das Tracking von WordPress-Servern implementiert. Sie enthält Funktionen, die für das Hinzufügen und Entfernen von Einträgen in Listen mit dem Titel WordPress und WordPressTargetsTTL verantwortlich sind. Zum Zeitpunkt der Erstellung dieses Berichts waren diese Listen – die auf allen infizierten Knoten gespeichert sind – noch leer.

Einige der wichtigsten aktuellen Beobachtungen:

• Die Peer-to-Peer-Architektur und der eigenständige Code des Botnetzes bewegen sich auf einem hohen technischen Niveau.
• Seine Verbreitungsgeschwindigkeit ist innerhalb eines Monats um das Zehnfache gestiegen, wobei Server im Gesundheits- und Bildungswesen und im staatlichen Sektor infiziert wurden.
• Seit Wiederbelebung des Botnetzes sind 1.500 Hostrechner infiziert worden, überwiegend in China.
• Die über das Netz verbreitete Golang-Malware erweitert das Botnetz um neue Funktionalitäten, z. B. die Nutzung eines Proxy-Netzwerks und die Kompromittierung von WordPress-Servern.
• Die aktuelle Angriffswelle liefert weitere Hinweise auf den Ursprung von FritzFrog mit einer potenziellen Verbindung zu einem Akteur, der in China aktiv ist oder vorgibt in China zu sitzen.
• Akamai Threat Labs hat das FritzFrog-Erkennungstool für die Bekämpfung der neuesten Version der Malware aktualisiert.