FritzFrog ist ein Peer-to-Peer-Botnetz, d. h. sein Befehls- und Kontrollserver ist nicht auf einen einzigen, zentralisierten Rechner beschränkt, sondern kann von jedem Rechner in seinem verteilten Netzwerk aus gesteuert werden. Mit anderen Worten: Jeder Host, auf dem der Malware-Prozess läuft, wird Teil des Netzwerks und ist in der Lage, die Befehle zur Steuerung von Rechnern im Netzwerk zu senden, zu empfangen und auszuführen.
FritzFrog verbreitet sich über SSH. Sobald er die Anmeldeinformationen eines Servers mithilfe einer einfachen (aber aggressiven) Brute-Force-Technik gefunden hat, baut er eine SSH-Sitzung mit dem neuen Opfer auf und legt die ausführbare Malware auf dem Host ab. Die Malware beginnt dann zu lauschen und auf Befehle zu warten. Zu diesen Befehlen gehören der Austausch von Zielen, die Weitergabe von Details über kompromittierte Rechner und die Übertragung von Dateien sowie die Ausführung von Skripten und binären Nutzdaten.
Unmittelbar nach der Veröffentlichung der Details über das P2P-Botnetz „FritzFrog“ (August 2020), das für Brute-Force-Massenangriffe auf SSH-Server verantwortlich ist, hat das Guardicore Labs Team (jetzt Akamai Threat Labs) einen starken Rückgang der Angriffsaktivitäten beobachtet. Anfang Dezember 2021 sind die Angriffe wieder stark gestiegen.
Das dezentrale Botnetz greift alle Geräte an, die offenen Zugang zu einem SSH-Service bieten – Cloud-Instanzen, Server in Rechenzentren, Router usw. – und kann auf infizierten Knoten Malware jeder Art ausführen.
Ein FritzFrog-Angriff beginnt mit einem SSH-Brute-Force-Angriff und wird mit einer Datei fortgesetzt, die abgelegt und ausgeführt wird. Diese Datei beginnt sofort, Port 1234 zu überwachen und Tausende von Internet-IP-Adressen über Port 22 und 2222 zu scannen.
Ein Unterschied zwischen den alten FritzFrog-Angriffen und den neuen Angriffen ist der Name des bösartigen Prozesses. In der ersten Runde der Angriffe hieß der bösartige Prozess ifconfig oder nginx; dieses Mal wählten die FritzFrog-Betreiber den Namen apache2.
FritzFrog hat eine neue Version veröffentlicht, die die Infrastruktur für das Tracking von WordPress-Servern implementiert. Sie enthält Funktionen, die für das Hinzufügen und Entfernen von Einträgen in Listen mit dem Titel WordPress und WordPressTargetsTTL verantwortlich sind. Zum Zeitpunkt der Erstellung dieses Berichts waren diese Listen – die auf allen infizierten Knoten gespeichert sind – noch leer.
Einige der wichtigsten aktuellen Beobachtungen:
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.