El actor de amenazas detrás de una botnet peer-to-peer (P2P) conocida como FritzFrog ha regresado con una nueva variante que aprovecha la vulnerabilidad Log4Shell para propagarse internamente dentro de una red ya comprometida.
«La vulnerabilidad se explota con fuerza bruta e intenta atacar tantas aplicaciones Java vulnerables como sea posible», dijo la empresa de seguridad e infraestructura web Akamai en un informe compartido con The Hacker News.
FritzFrog, documentado por primera vez por Guardicore (ahora parte de Akamai) en agosto de 2020, es un malware basado en Golang que se dirige principalmente a servidores conectados a Internet con credenciales SSH débiles. Se sabe que está activo desde enero de 2020.
Desde entonces , ha evolucionado para atacar a los sectores de salud, educación y gobierno, además de mejorar sus capacidades para, en última instancia, implementar mineros de criptomonedas en hosts infectados.
Lo novedoso de la última versión es el uso de la vulnerabilidad Log4Shell como vector de infección secundario para identificar específicamente los hosts internos en lugar de apuntar a activos vulnerables de acceso público.
«Cuando se descubrió la vulnerabilidad por primera vez, se dio prioridad a la aplicación de parches en las aplicaciones conectadas a Internet debido a su importante riesgo de compromiso», dijo el investigador de seguridad Ori David.
«Por el contrario, las máquinas internas, que tenían menos probabilidades de ser explotadas, a menudo fueron descuidadas y no fueron parcheadas, una circunstancia que FritzFrog aprovecha».
Esto significa que incluso si las aplicaciones conectadas a Internet han sido parcheadas, una infracción de cualquier otro punto final puede exponer a la explotación los sistemas internos sin parches y propagar el malware.
El componente de fuerza bruta SSH de FritzFrog también recibió su propio lavado de cara para identificar objetivos SSH específicos enumerando varios registros del sistema en cada una de sus víctimas.
Otro cambio notable en el malware es el uso de la falla PwnKit rastreada como CVE-2021-4034 para lograr una escalada de privilegios local.
«FritzFrog continúa empleando tácticas para permanecer oculto y evitar ser detectado», dijo David. «En particular, se tiene especial cuidado en evitar colocar archivos en el disco cuando sea posible».
Esto se logra mediante la ubicación de memoria compartida /dev/shm, que también ha sido utilizada por otro malware basado en Linux como BPFDoor y Commando Cat , y memfd_create para ejecutar cargas útiles residentes en la memoria.
La divulgación se produce cuando Akamai reveló que la botnet InfectedSlurs está explotando activamente fallas de seguridad ahora parcheadas (desde CVE-2024-22768 hasta CVE-2024-22772 y CVE-2024-23842) que afectan múltiples modelos de dispositivos DVR de Hitron Systems para lanzar sistemas distribuidos. Ataques de denegación de servicio (DDoS).
Fuente y redacción: thehackernews.com
