Categories: SicherheitVirus

FritzFrog: P2P-Botnet kontrolliert mindestens 500 Enterprise- und Behörden-Server

Forscher des Sicherheitsanbieters Guardicore haben ein neues Peer-to-Peer-Botnet namens FritzFrog analysiert. Es ist mindestens seit Januar aktiv und attackiert SSH-Server von Behörden, Bildungseinrichtungen sowie Unternehmen in den Bereichen Finanzen, Medizin und Telekommunikation per Brute-Force-Angriff.

FritzFrog soll inzwischen mindestens 500 Server kompromittiert haben. Zu den Opfer gehören laut Ophir Harpaz, Forscher bei Guardicore, bekannten Universitäten in den USA und Europa sowie ein nicht näher genanntes Eisenbahnunternehmen.

Beschrieben wird FritzFrog als dezentralisiertes Botnet. Es kontrolliert seine Knoten über P2P-Protokolle, statt einen zentralen Befehlsserver einzusetzen – der aber auch eine Schwachstelle wäre.

Die Hintermänner schleusen, nachdem sie einen Zugang zu einem SSH-Server per Brute Force geknackt haben, eine dateilose Schadsoftware, die nur im Arbeitsspeicher ausgeführt wird. Das erlaubt es ihr, möglichst wenige Spuren zu hinterlassen und vielen gängigen Erkennungstechniken zu entgehen. Anschließend kann der Server Befehlen empfangen und ausführen und wird so zum Teil des Botnets.

Bisher registrierten die Forscher mehr als 20 Varianten der in Golang geschriebenen Schadsoftware. Sie empfängt Befehle über den Port 1234. Dafür wird erneut eine SSH-Verbindung aufgebaut. Um die Befehle zu verschleiern, setzen die Angreifer auf einen Netcat-Client und auf eine AES-Verschlüsselung. Außerdem fügen sie einen öffentlichen SSH-RSA-Schlüssel zur Datei „authorized_keys“ hinzu. Die nun eingerichtete Backdoor dient der Überwachung des Systems des Opfers und des Netzwerks.

Die Hauptaufgabe von FritzFrog ist es, den Cryptominer XMRig auszuführen und die Kryptowährung Monero zu schürfen. Zu diesem Zweck ist die Malware in der Lage, Server-Prozesse, die die CPU belasten, abzuschalten, um dem Miner so viel Leistung wie möglich zur Verfügung zu stellen. Darüber hinaus kann sich FritzFrog über das SHH-Protokoll weiterverbreiten.

Das P2P-Protokoll von FritzFrog ist laut der Analyse proprietär. Es basiere auf keiner bisher bekannten Implementierung. Als Folge stufen die Forscher die Hacker als „hochprofessionelle Softwareentwickler“ ein. Zu möglichen Hintermännern fand Guardicore indes keine Hinweise – außer Ähnlichkeiten mit dem 2016 entdeckten Botnet Rakos.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

4 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

1 Woche ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

1 Woche ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

1 Woche ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

1 Woche ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

1 Woche ago