İlk olarak 2020’de tanımlanan FritzFrog botnet, Golang’da yerleşik, hem AMD hem de ARM tabanlı cihazlarda çalışabilen gelişmiş bir eşler arası botnet’tir. Sürekli güncellemeler sayesinde, kötü amaçlı yazılım zamanla gelişerek özellikler ekleyerek ve geliştirmektedir.
Dahili ağdaki tüm ana bilgisayarları hedef almak için Log4Shell güvenlik açığından yararlanan yeni bir FritzFrog botnet türü keşfedildi.
Ayrıca kötü amaçlı yazılım, zayıf SSH kimlik bilgilerini kullanarak internet üzerinden erişilebilen sunuculara saldırır.
Akamai, Cyber Security News ile yaptığı paylaşımda “Daha yeni değişkenler artık bu saldırının savunmasız olma olasılığı yüksek olan potansiyel hedeflerini tespit etmek için güvenliği ihlal edilmiş ana bilgisayarlardaki çeşitli sistem dosyalarını okuyor” dedi.
Sömürü Zinciri
FritzFrog tarafından kullanılan tek enfeksiyon vektörü SSH kaba kuvvetiydi; ancak kötü amaçlı yazılımın daha yeni sürümleri, “Frog4Shell” adı verilen Log4Shell istismarını ekledi.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
2021 yılında popüler açık kaynaklı Log4j web aracında Log4Shell adlı bir güvenlik açığı bulundu. Hükümetler ve güvenlik firmaları, teknolojiye yama yapmak için küresel bir girişim gerçekleştirdi.
Şu anda kötü amaçlı yazılım, yayılma rutininin bir parçası olarak iç ağdaki her ana bilgisayarı hedef alıyor. Kötü amaçlı yazılım bunu gerçekleştirmek için yerel ağdaki her adrese bağlanmaya çalışıyor.
Araştırmacılara göre, kötüye kullanılma olasılığı daha düşük olan dahili bilgisayarlar sıklıkla gözden kaçırılıyor ve yamaları kaldırılıyor; FritzFrog da bu durumdan yararlanıyor.
Araştırmacılar, “Bu, internete yönelik “yüksek profilli” uygulamalara yama uygulanmış olsa bile, ağdaki herhangi bir varlığın FritzFrog tarafından ihlalinin, yama yapılmamış dahili varlıkların istismara açık hale gelebileceği anlamına geliyor” dedi.
FritzFrog, olası Log4Shell hedeflerini bulmak için 8080, 8090, 8888 ve 9000 numaralı bağlantı noktalarında HTTP sunucularını arar. Kötü amaçlı yazılım şu anda mümkün olduğunca çok sayıda savunmasız Java uygulamasını hedefliyor.
Ek olarak FritzFrog, birincil enfeksiyon vektörü olan SSH kaba kuvvetine yönelik hedefleri belirleme kapasitesini de geliştirdi.
FritzFrog artık rastgele oluşturulmuş IP adreslerini hedeflemenin yanı sıra kurbanlarının her birinde birden fazla sistem günlüğünü sayarak belirli SSH hedeflerini belirlemeye çalışacak.
Kötü amaçlı yazılım artık polkit Linux bileşeninde bir ayrıcalık artışı olan CVE-2021-4034’ten yararlanan bir modül içeriyor. Bu modül, duyarlı sunucularda kötü amaçlı yazılımın root olarak çalışmasına olanak tanır.
Araştırmacılar, “Çoğu Linux dağıtımında varsayılan olarak kurulduğundan, yama uygulanmamış birçok makine bugün hala bu CVE’ye karşı savunmasızdır” dedi.
Öneri
- Ağ bölümlendirmesi, kötü amaçlı yazılımın yanal hareketini durdurabilir. Yazılım tabanlı segmentasyon, uygulanması nispeten kolay, uzun süreli bir koruyucu önlem olma potansiyeline sahiptir.
- SSH sunucularında kullanım için aşağıdaki FritzFrog göstergelerini arayan bir FritzFrog algılama komut dosyası verilmiştir:
A. Yürütülebilir dosyası artık dosya sisteminde bulunmayan nginx, ifconfig, php-fpm, apache2 veya libexec adlı işlemleri çalıştırmak (aşağıda görüldüğü gibi)
B. Dinleme bağlantı noktası 1234