Olarak bilinen eşler arası (P2P) bir botnet’in arkasındaki tehdit aktörü Fritz Kurbağası Zaten güvenliği ihlal edilmiş bir ağ içerisinde dahili olarak yayılmak için Log4Shell güvenlik açığından yararlanan yeni bir varyantla geri dönüş yaptı.
Web altyapısı ve güvenlik şirketi Akamai, The Hacker News ile paylaşılan bir raporda, “Güvenlik açığı, mümkün olduğunca çok sayıda savunmasız Java uygulamasını hedeflemeye çalışan kaba kuvvet yöntemiyle kullanılıyor.” dedi.
İlk olarak Ağustos 2020’de Guardicore (şu anda Akamai’nin bir parçası) tarafından belgelenen FritzFrog, öncelikle zayıf SSH kimlik bilgilerine sahip internete bakan sunucuları hedef alan Golang tabanlı bir kötü amaçlı yazılımdır. Ocak 2020’den bu yana aktif olduğu biliniyor.
O zamandan beri sağlık, eğitim ve hükümet sektörlerine saldıracak şekilde gelişti ve sonuçta kripto para birimi madencilerini virüslü ana bilgisayarlara dağıtma yeteneklerini geliştirdi.
En son sürümün yeniliği, Log4Shell güvenlik açığının, halka açık, savunmasız varlıkları hedeflemek yerine özellikle dahili ana bilgisayarları ayırmak için ikincil bir enfeksiyon vektörü olarak kullanılmasıdır.
Güvenlik araştırmacısı Ori David, “Güvenlik açığı ilk keşfedildiğinde, ciddi risk oluşturma riskleri nedeniyle internete yönelik uygulamalara yama uygulanmasına öncelik verildi” dedi.
“Tersine, sömürülme olasılığı daha düşük olan dahili makineler genellikle ihmal edildi ve yama yapılmadan kaldı; FritzFrog bu durumdan yararlanıyor.”
Bu, internete yönelik uygulamalara yama uygulanmış olsa bile, başka herhangi bir uç noktanın ihlalinin, yama uygulanmamış dahili sistemlerin istismara maruz kalmasına ve kötü amaçlı yazılımın yayılmasına neden olabileceği anlamına gelir.
FritzFrog’un SSH kaba kuvvet bileşeni, kurbanlarının her birine ilişkin çeşitli sistem günlüklerini numaralandırarak belirli SSH hedeflerini tanımlamak için kendi başına bir makyaj aldı.
Kötü amaçlı yazılımdaki bir diğer dikkate değer değişiklik, yerel ayrıcalık yükseltmeyi sağlamak için CVE-2021-4034 olarak takip edilen PwnKit kusurunun kullanılmasıdır.
David, “FritzFrog gizli kalmak ve tespit edilmekten kaçınmak için taktikler uygulamaya devam ediyor” dedi. “Özellikle, mümkün olduğunda dosyaların diske bırakılmasını önlemek için özel dikkat gerekir.”
Bu, aynı zamanda BPFDoor ve Commando Cat gibi diğer Linux tabanlı kötü amaçlı yazılımlar tarafından da kullanılan paylaşılan bellek konumu /dev/shm ve bellekte yerleşik yükleri yürütmek için memfd_create aracılığıyla gerçekleştirilir.
Açıklama, Akamai’nin, InfectedSlurs botnet’inin halihazırda yamalanmış güvenlik kusurlarından (CVE-2024-22768’den CVE-2024-22772 ve CVE-2024-23842’ye kadar) aktif olarak yararlandığını ve Hitron Systems’in birden fazla DVR cihaz modelini dağıtarak piyasaya sürmek üzere etkilediğini ortaya çıkarmasıyla geldi. Hizmet reddi (DDoS) saldırıları.