FritzFrog ist ein Peer-to-Peer-Botnetz, d. h. sein Befehls- und Kontrollserver ist nicht auf einen einzigen, zentralisierten Rechner beschränkt, sondern kann von jedem Rechner in seinem verteilten Netzwerk aus gesteuert werden. Mit anderen Worten: Jeder Host, auf dem der Malware-Prozess läuft, wird Teil des Netzwerks und ist in der Lage, die Befehle zur Steuerung von Rechnern im Netzwerk zu senden, zu empfangen und auszuführen.

FritzFrog verbreitet sich über SSH. Sobald er die Anmeldeinformationen eines Servers mithilfe einer einfachen (aber aggressiven) Brute-Force-Technik gefunden hat, baut er eine SSH-Sitzung mit dem neuen Opfer auf und legt die ausführbare Malware auf dem Host ab. Die Malware beginnt dann zu lauschen und auf Befehle zu warten. Zu diesen Befehlen gehören der Austausch von Zielen, die Weitergabe von Details über kompromittierte Rechner und die Übertragung von Dateien sowie die Ausführung von Skripten und binären Nutzdaten.

Unmittelbar nach der Veröffentlichung der Details über das P2P-Botnetz „FritzFrog“ (August 2020), das für Brute-Force-Massenangriffe auf SSH-Server verantwortlich ist, hat das Guardicore Labs Team (jetzt Akamai Threat Labs) einen starken Rückgang der Angriffsaktivitäten beobachtet. Anfang Dezember 2021 sind die Angriffe wieder stark gestiegen.

Das dezentrale Botnetz greift alle Geräte an, die offenen Zugang zu einem SSH-Service bieten – Cloud-Instanzen, Server in Rechenzentren, Router usw. – und kann auf infizierten Knoten Malware jeder Art ausführen.

Ein FritzFrog-Angriff beginnt mit einem SSH-Brute-Force-Angriff und wird mit einer Datei fortgesetzt, die abgelegt und ausgeführt wird. Diese Datei beginnt sofort, Port 1234 zu überwachen und Tausende von Internet-IP-Adressen über Port 22 und 2222 zu scannen.

Ein Unterschied zwischen den alten FritzFrog-Angriffen und den neuen Angriffen ist der Name des bösartigen Prozesses. In der ersten Runde der Angriffe hieß der bösartige Prozess ifconfig oder nginx; dieses Mal wählten die FritzFrog-Betreiber den Namen apache2.

FritzFrog hat eine neue Version veröffentlicht, die die Infrastruktur für das Tracking von WordPress-Servern implementiert. Sie enthält Funktionen, die für das Hinzufügen und Entfernen von Einträgen in Listen mit dem Titel WordPress und WordPressTargetsTTL verantwortlich sind. Zum Zeitpunkt der Erstellung dieses Berichts waren diese Listen – die auf allen infizierten Knoten gespeichert sind – noch leer.

Einige der wichtigsten aktuellen Beobachtungen:

  • Die Peer-to-Peer-Architektur und der eigenständige Code des Botnetzes bewegen sich auf einem hohen technischen Niveau.
  • Seine Verbreitungsgeschwindigkeit ist innerhalb eines Monats um das Zehnfache gestiegen, wobei Server im Gesundheits- und Bildungswesen und im staatlichen Sektor infiziert wurden.
  • Seit Wiederbelebung des Botnetzes sind 1.500 Hostrechner infiziert worden, überwiegend in China.
  • Die über das Netz verbreitete Golang-Malware erweitert das Botnetz um neue Funktionalitäten, z. B. die Nutzung eines Proxy-Netzwerks und die Kompromittierung von WordPress-Servern.
  • Die aktuelle Angriffswelle liefert weitere Hinweise auf den Ursprung von FritzFrog mit einer potenziellen Verbindung zu einem Akteur, der in China aktiv ist oder vorgibt in China zu sitzen.
  • Akamai Threat Labs hat das FritzFrog-Erkennungstool für die Bekämpfung der neuesten Version der Malware aktualisiert.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago