Một mạng botnet ngang hàng Golang đã xuất hiện trở lại sau hơn một năm để xâm nhập máy chủ của các tổ chức thuộc lĩnh vực y tế, giáo dục và chính phủ trong vòng một tháng, lây nhiễm tổng cộng 1.500 máy chủ.
Được đặt tên là FritzFrog, “mạng botnet phi tập trung nhắm mục tiêu vào bất kỳ thiết bị nào có máy chủ SSH – các phiên bản đám mây, máy chủ trung tâm dữ liệu, bộ định tuyến, v.v. – và có khả năng chạy bất kỳ tải trọng độc hại nào trên các nút bị nhiễm”, các nhà nghiên cứu của Akamai cho biết trong một báo cáo được chia sẻ với The Tin tặc.
Làn sóng tấn công mới bắt đầu vào đầu tháng 12 năm 2021, chỉ để tăng tốc độ và ghi nhận mức tăng 10 lần về tỷ lệ lây nhiễm của nó trong thời gian một tháng, trong khi đạt đỉnh 500 sự cố mỗi ngày vào tháng 1 năm 2022. Công ty an ninh mạng cho biết họ đã phát hiện các máy bị nhiễm trong một mạng lưới kênh truyền hình châu Âu, một nhà sản xuất thiết bị chăm sóc sức khỏe của Nga và nhiều trường đại học ở Đông Á.
FritzFrog được Guardicore ghi lại lần đầu tiên vào tháng 8 năm 2020, trình bày kỹ càng về khả năng tấn công và lây nhiễm của mạng botnet đối với hơn 500 máy chủ trải dài khắp châu Âu và Mỹ kể từ tháng 1 năm đó. Mặt khác, một tập trung lớn các ca lây nhiễm mới nằm ở Trung Quốc.
Nhà nghiên cứu bảo mật Ophir Harpaz nhận xét: “Fritzfrog dựa vào khả năng chia sẻ tệp qua mạng, để lây nhiễm sang các máy mới và chạy các tải trọng độc hại, chẳng hạn như công cụ khai thác tiền điện tử Monero,” Ophir Harpaz nhận xét vào năm 2020.
Kiến trúc ngang hàng (P2P) của botnet làm cho nó có khả năng phục hồi ở chỗ mọi máy bị xâm nhập trong mạng phân tán đều có thể hoạt động như một máy chủ chỉ huy và kiểm soát (C2) thay vì một máy chủ tập trung duy nhất. Hơn nữa, sự xuất hiện trở lại của mạng botnet đã đi kèm với các bổ sung mới cho chức năng của nó, bao gồm việc sử dụng mạng proxy và nhắm mục tiêu các máy chủ WordPress.
Chuỗi lây nhiễm lan truyền qua SSH để giảm tải phần mềm độc hại, sau đó thực thi các hướng dẫn nhận được từ máy chủ C2 để chạy các tệp nhị phân phần mềm độc hại bổ sung cũng như thu thập thông tin hệ thống và tệp, trước khi thoát chúng trở lại máy chủ.
FritzFrog đáng chú ý vì giao thức P2P được sử dụng là hoàn toàn độc quyền. Trong khi các phiên bản trước của quy trình phần mềm độc hại được giả dạng là “ifconfig” và “nginx”, các biến thể gần đây cố gắng che giấu hoạt động của chúng dưới tên “apache2” và “php-fpm”.
Các đặc điểm mới khác được tích hợp vào phần mềm độc hại bao gồm việc sử dụng giao thức sao chép an toàn (SCP) để sao chép chính nó vào máy chủ từ xa, chuỗi proxy Tor để che giấu các kết nối SSH gửi đi, cơ sở hạ tầng để theo dõi các máy chủ WordPress để tìm các cuộc tấn công tiếp theo và danh sách chặn cơ chế để tránh lây nhiễm các hệ thống cấp thấp như thiết bị Raspberry Pi.
Các nhà nghiên cứu cho biết: “Một IP trong danh sách chặn là từ Nga. Nó có nhiều cổng mở và một danh sách dài các lỗ hổng chưa được vá, vì vậy nó có thể là một honeypot”. “Ngoài ra, mục nhập thứ hai dẫn đến lỗ hổng mạng botnet mã nguồn mở. Hai mục này cho thấy rằng các nhà khai thác đang cố gắng trốn tránh việc phát hiện và phân tích.”
Việc đưa tính năng SCP vào cũng có thể đã đưa ra manh mối đầu tiên về nguồn gốc của phần mềm độc hại. Akamai chỉ ra rằng thư viện được viết bằng Go, đã được chia sẻ trên GitHub bởi một người dùng ở thành phố Thượng Hải, Trung Quốc.
Một thông tin thứ hai liên kết phần mềm độc hại với Trung Quốc bắt nguồn từ thực tế là một trong những địa chỉ ví mới được sử dụng để khai thác tiền điện tử cũng được sử dụng như một phần của chiến dịch mạng botnet Mozi, những người điều hành đã bị bắt ở Trung Quốc vào tháng 9 năm ngoái.
Các nhà nghiên cứu kết luận: “Những điểm bằng chứng này, tuy không đáng nguyền rủa, nhưng khiến chúng tôi tin rằng có một mối liên hệ có thể tồn tại với một diễn viên hoạt động ở Trung Quốc hoặc một diễn viên giả dạng người Trung Quốc”, các nhà nghiên cứu kết luận.
.
