FritzFrog P2P 僵尸网络攻击医疗、教育和政府部门

Hackernews 编译，转载请注明出处：

一个P2P的Golang僵尸网络在一年多后重新浮出水面，在一个月内侵入了医疗、教育和政府部门实体的服务器，感染了总共1500台主机。

Akamai 的研究人员在与 The Hacker News 共享的一份报告中称，这种名为 FritzFrog 的“分散僵尸网络攻击任何暴露 SSH 服务器的设备——云实例、数据中心服务器、路由器等——并能够在受感染的节点上运行任何恶意有效载荷。”

2021年12月初开始的新一轮攻击，在一个月的时间内加快了速度，感染率增长了10倍，而在2022年1月达到高峰，每天发生500起感染事件。这家网络安全公司表示，他们在一家欧洲电视频道网络、一家俄罗斯医疗设备制造商和东亚多所大学中发现了受感染的设备。

FritzFrog 在2020年8月由 Guardicore 首次记录，详细说明了僵尸网络自20年1月以来攻击并感染了欧洲和美国的500多台服务器的能力。另一方面，新感染病例大量集中在中国。

安全研究员 Ophir Harpaz 在2020年观察到: “ Fritzfrog 依靠在网络上共享文件的能力，不仅可以感染新的机器，还可以运行恶意的有效负载，比如 Monero crypto miner。”

僵尸网络P2P体系结构使其具有适应性，因为分布式网络中的每台受损机器都可以充当命令控制(C2)服务器，而不是单一的集中式主机。更重要的是，僵尸网络的再次出现伴随着其新功能的增加，包括使用代理网络和瞄准 WordPress 服务器。

感染链通过 SSH 传播，植入一个恶意软件有效载荷，然后执行从 c2服务器接收到的指令，运行额外的恶意软件二进制程序，收集系统信息和文件，然后再将它们转移回服务器。

值得注意的是，FritzFrog所使用的 P2P 协议是完全专有的。虽然早期版本的恶意软件进程伪装成“ ifconfig”和“ nginx”，但最近的变体试图用“ apache2”和“ php-fpm”来隐藏它们的活动。

这款恶意软件还包含了其他新特性，包括使用安全复制协议(SCP)将自身复制到远程服务器，使用 Tor 代理链接来掩护输出的 SSH 连接，跟踪 WordPress 服务器进行后续攻击的基础设施，以及避免感染 Raspberry Pi 设备等低端系统的阻塞列表机制。

“封锁名单中的一个 IP 来自俄罗斯。它有多个开放端口和一长串未打补丁的漏洞，所以它可能是一个蜜罐,”研究人员说。“此外，第二个入口指向一个开源的僵尸网络漏洞。这两个入口表明，操作人员试图逃避侦查和分析。”

包含 SCP 特性也可能为恶意软件的起源提供了第一条线索。Akamai 指出，这个用 Go 编写的库已经被中国上海的一个用户分享到了 GitHub 上。

第二条将恶意软件与中国联系起来的线索是另一起事件，即用于密码挖掘的一个新钱包地址也被用作Mozi僵尸网络攻击的一部分，其操作者于去年9月在中国被捕。

研究人员得出结论: “这些证据虽不确凿，但让我们相信，可能存在与在中国黑客或伪装成中国人的黑客之间的联系。”

消息来源：TheHackerNews，译者：Zoeppo；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文