Аналитики Guardicore Labs рассказали об обнаружении написанной на Go малвари FritzFrog, которая брутфорсит SSH-серверы с начала 2020 года, а также одноименного P2P-ботнета.
По данным исследователей, к настоящему моменту ботнет совершил около 13 000 атак и взломал не менее 500 SSH-серверов, принадлежащих правительственным, образовательным, финансовым, медицинским и телекоммуникационным организациям и учреждениям по всему миру. Известно, что от атак пострадали известные университеты в США и Европе, а также железнодорожная компания.
Карта заражений FritzFrog
Основной целью FritzFrog является добыча криптовалюты Monero. Для этого в зараженных системах разворачивается майнер XMRig, подключенный к пулу web.xmrpool.eu через порт 5555.
Интересно, что P2P протокол, используемый ботнетом, является проприетарным и не базируется на какой-либо существующей имплементации, подобной μTP. По мнению исследователей, это может свидетельствовать о том, что за созданием FritzFrog стоят профессионалы. Так, аналитики отмечают, что им удалось выявить некоторые сходства между FritzFrog и ботнетом Rakos, обнаруженным в 2016 году.
Как правило, первая же полученная команда присоединяет машину-жертву к P2P-ботнету. Прочие команды, зашифрованные AES, включают добавление публичного ключа SSH-RSA в файл authorized_keys для создания бэкдора, а также запуск shell-команд для мониторинга ресурсов зараженной машины, использования процессора, а также мониторинга сети. Если какие-то процессы на сервере занимают ресурсы ЦП, малварь может ликвидировать их, чтобы майнер мог работать эффективнее.
Коммуникации FritzFrog
По данным исследователей, к настоящему моменту ботнет совершил около 13 000 атак и взломал не менее 500 SSH-серверов, принадлежащих правительственным, образовательным, финансовым, медицинским и телекоммуникационным организациям и учреждениям по всему миру. Известно, что от атак пострадали известные университеты в США и Европе, а также железнодорожная компания.
Карта заражений FritzFrogОсновной целью FritzFrog является добыча криптовалюты Monero. Для этого в зараженных системах разворачивается майнер XMRig, подключенный к пулу web.xmrpool.eu через порт 5555.
Интересно, что P2P протокол, используемый ботнетом, является проприетарным и не базируется на какой-либо существующей имплементации, подобной μTP. По мнению исследователей, это может свидетельствовать о том, что за созданием FritzFrog стоят профессионалы. Так, аналитики отмечают, что им удалось выявить некоторые сходства между FritzFrog и ботнетом Rakos, обнаруженным в 2016 году.
Если брутфорс SSH-сервера удался, малварь не оставляет почти никаких следов в атакованной системе, так как выполняется в памяти и относится к бесфайловым вредоносам. После запуска FritzFrog, малварь распаковывается под именами ifconfig и NGINX и слушает порт 1234 в ожидании команд. Так как подобные коммуникации нетрудно обнаружить, злоумышленники подключаются к жертве через через SSH, посредством netcat. Также стоит упомянуть, что файлы полезной нагрузки передаются между пирами в стиле BitTorrent, с использованием сегментированной передачи данных.
Как правило, первая же полученная команда присоединяет машину-жертву к P2P-ботнету. Прочие команды, зашифрованные AES, включают добавление публичного ключа SSH-RSA в файл authorized_keys для создания бэкдора, а также запуск shell-команд для мониторинга ресурсов зараженной машины, использования процессора, а также мониторинга сети. Если какие-то процессы на сервере занимают ресурсы ЦП, малварь может ликвидировать их, чтобы майнер мог работать эффективнее.
Коммуникации FritzFrog