一个P2P的Golang僵尸网络在一年多后重新浮出水面,在一个月内侵入了医疗、教育和政府部门实体的服务器,感染了总共1500台主机。
Akamai 的研究人员在与 The Hacker News 共享的一份中称,这种名为 FritzFrog 的“分散僵尸网络攻击任何暴露 SSH 服务器的设备——云实例、数据中心服务器、路由器等——并能够在受感染的节点上运行任何恶意有效载荷。”
2021年12月初开始的新一轮攻击,在一个月的时间内加快了速度,感染率增长了10倍,而在2022年1月达到高峰,每天发生500起感染事件。这家网络安全公司表示,他们在一家欧洲电视频道网络、一家俄罗斯医疗设备制造商和东亚多所大学中发现了受感染的设备。
FritzFrog 在2020年8月由 Guardicore 首次,详细说明了僵尸网络自20年1月以来攻击并感染了欧洲和美国的500多台服务器的能力。另一方面,新感染病例大量集中在中国。
安全研究员 Ophir Harpaz 在2020年观察到: “ Fritzfrog 依靠在网络上共享文件的能力,不仅可以感染新的机器,还可以运行恶意的有效负载,比如 Monero crypto miner。”
僵尸网络P2P体系结构使其具有适应性,因为分布式网络中的每台受损机器都可以充当命令控制(C2)服务器,而不是单一的集中式主机。更重要的是,僵尸网络的再次出现伴随着其新功能的增加,包括使用代理网络和瞄准 WordPress 服务器。
感染链通过 SSH 传播,植入一个恶意软件有效载荷,然后执行从 c2服务器接收到的指令,运行额外的恶意软件二进制程序,收集系统信息和文件,然后再将它们转移回服务器。
值得注意的是,FritzFrog所使用的 P2P 协议是完全专有的。虽然早期版本的恶意软件进程伪装成“ ifconfig”和“ nginx”,但最近的变体试图用“ apache2”和“ php-fpm”来隐藏它们的活动。
这款恶意软件还包含了其他新特性,包括使用安全复制协议(SCP)将自身复制到远程服务器,使用 Tor 代理链接来掩护输出的 SSH 连接,跟踪 WordPress 服务器进行后续攻击的基础设施,以及避免感染 Raspberry Pi 设备等低端系统的阻塞列表机制。
包含 SCP 特性也可能为恶意软件的起源提供了第一条线索。Akamai 指出,这个用 Go 编写的库已经被中国上海的一个用户分享到了 上。
第二条将恶意软件与中国联系起来的线索是另一起事件,即用于密码挖掘的一个新钱包地址也被用作的一部分,其操作者于去年9月在中国被捕。
消息来源:TheHackerNews,译者:Zoeppo;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文