FritzFrog ist ein Peer-to-Peer-Botnetz, d. h. sein Befehls- und Kontrollserver ist nicht auf einen einzigen, zentralisierten Rechner beschränkt, sondern kann von jedem Rechner in seinem verteilten Netzwerk aus gesteuert werden. Mit anderen Worten: Jeder Host, auf dem der Malware-Prozess läuft, wird Teil des Netzwerks und ist in der Lage, die Befehle zur Steuerung von Rechnern im Netzwerk zu senden, zu empfangen und auszuführen.
FritzFrog verbreitet sich über SSH. Sobald er die Anmeldeinformationen eines Servers mithilfe einer einfachen (aber aggressiven) Brute-Force-Technik gefunden hat, baut er eine SSH-Sitzung mit dem neuen Opfer auf und legt die ausführbare Malware auf dem Host ab. Die Malware beginnt dann zu lauschen und auf Befehle zu warten. Zu diesen Befehlen gehören der Austausch von Zielen, die Weitergabe von Details über kompromittierte Rechner und die Übertragung von Dateien sowie die Ausführung von Skripten und binären Nutzdaten.
Unmittelbar nach der Veröffentlichung der Details über das P2P-Botnetz „FritzFrog“ (August 2020), das für Brute-Force-Massenangriffe auf SSH-Server verantwortlich ist, hat das Guardicore Labs Team (jetzt Akamai Threat Labs) einen starken Rückgang der Angriffsaktivitäten beobachtet. Anfang Dezember 2021 sind die Angriffe wieder stark gestiegen.
Das dezentrale Botnetz greift alle Geräte an, die offenen Zugang zu einem SSH-Service bieten – Cloud-Instanzen, Server in Rechenzentren, Router usw. – und kann auf infizierten Knoten Malware jeder Art ausführen.
Ein FritzFrog-Angriff beginnt mit einem SSH-Brute-Force-Angriff und wird mit einer Datei fortgesetzt, die abgelegt und ausgeführt wird. Diese Datei beginnt sofort, Port 1234 zu überwachen und Tausende von Internet-IP-Adressen über Port 22 und 2222 zu scannen.
Ein Unterschied zwischen den alten FritzFrog-Angriffen und den neuen Angriffen ist der Name des bösartigen Prozesses. In der ersten Runde der Angriffe hieß der bösartige Prozess ifconfig oder nginx; dieses Mal wählten die FritzFrog-Betreiber den Namen apache2.
FritzFrog hat eine neue Version veröffentlicht, die die Infrastruktur für das Tracking von WordPress-Servern implementiert. Sie enthält Funktionen, die für das Hinzufügen und Entfernen von Einträgen in Listen mit dem Titel WordPress und WordPressTargetsTTL verantwortlich sind. Zum Zeitpunkt der Erstellung dieses Berichts waren diese Listen – die auf allen infizierten Knoten gespeichert sind – noch leer.
Einige der wichtigsten aktuellen Beobachtungen:
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…