malware

FritzFrog P2P 僵尸网络攻击医疗、教育和政府部门

  • 浏览次数 54451
  • 喜欢 0
  • 评分 12345

Hackernews 编译,转载请注明出处:

FritzFrog P2P Botnet

一个P2P的Golang僵尸网络在一年多后重新浮出水面,在一个月内侵入了医疗、教育和政府部门实体的服务器,感染了总共1500台主机。

Akamai 的研究人员在与 The Hacker News 共享的一份报告中称,这种名为 FritzFrog 的“分散僵尸网络攻击任何暴露 SSH 服务器的设备——云实例、数据中心服务器、路由器等——并能够在受感染的节点上运行任何恶意有效载荷。”

2021年12月初开始的新一轮攻击,在一个月的时间内加快了速度,感染率增长了10倍,而在2022年1月达到高峰,每天发生500起感染事件。这家网络安全公司表示,他们在一家欧洲电视频道网络、一家俄罗斯医疗设备制造商和东亚多所大学中发现了受感染的设备。

FritzFrog 在2020年8月由 Guardicore 首次记录,详细说明了僵尸网络自20年1月以来攻击并感染了欧洲和美国的500多台服务器的能力。另一方面,新感染病例大量集中在中国。

安全研究员 Ophir Harpaz 在2020年观察到: “ Fritzfrog 依靠在网络上共享文件的能力,不仅可以感染新的机器,还可以运行恶意的有效负载,比如 Monero crypto miner。”

僵尸网络P2P体系结构使其具有适应性,因为分布式网络中的每台受损机器都可以充当命令控制(C2)服务器,而不是单一的集中式主机。更重要的是,僵尸网络的再次出现伴随着其新功能的增加,包括使用代理网络和瞄准 WordPress 服务器。

感染链通过 SSH 传播,植入一个恶意软件有效载荷,然后执行从 c2服务器接收到的指令,运行额外的恶意软件二进制程序,收集系统信息和文件,然后再将它们转移回服务器。

FritzFrog P2P Botnet

值得注意的是,FritzFrog所使用的 P2P 协议是完全专有的。虽然早期版本的恶意软件进程伪装成“ ifconfig”和“ nginx”,但最近的变体试图用“ apache2”和“ php-fpm”来隐藏它们的活动。

这款恶意软件还包含了其他新特性,包括使用安全复制协议(SCP)将自身复制到远程服务器,使用 Tor 代理链接来掩护输出的 SSH 连接,跟踪 WordPress 服务器进行后续攻击的基础设施,以及避免感染 Raspberry Pi 设备等低端系统的阻塞列表机制。

“封锁名单中的一个 IP 来自俄罗斯。它有多个开放端口和一长串未打补丁的漏洞,所以它可能是一个蜜罐,”研究人员说。“此外,第二个入口指向一个开源的僵尸网络漏洞。这两个入口表明,操作人员试图逃避侦查和分析。”

包含 SCP 特性也可能为恶意软件的起源提供了第一条线索。Akamai 指出,这个用 Go 编写的库已经被中国上海的一个用户分享到了 GitHub 上。

第二条将恶意软件与中国联系起来的线索是另一起事件,即用于密码挖掘的一个新钱包地址也被用作Mozi僵尸网络攻击的一部分,其操作者于去年9月在中国被捕。

研究人员得出结论: “这些证据虽不确凿,但让我们相信,可能存在与在中国黑客或伪装成中国人的黑客之间的联系。”

消息来源:TheHackerNews,译者:Zoeppo;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文

关于作者

Zoe

o(* ̄▽ ̄*)ブ