Im Laufe der Jahre hat Akamai mehr als 20.000 FritzFrog-Attacken und mehr als 1.500 Angriffsziele beobachtet.
Die Malware infiziert Server, die mit dem Internet verbunden sind, indem sie schwache SSH-Anmeldeinformationen erzwingt. Neuere Varianten lesen nun mehrere Systemdateien auf kompromittierten Hosts aus, um potenzielle Angriffsziele zu identifizieren, die mit hoher Wahrscheinlichkeit anfällig sind.
Die Schwachstelle wird mit einer Brute-Force-Methode ausgenutzt, bei der versucht wird, möglichst viele anfällige Java-Anwendungen anzugreifen. Die Malware enthält jetzt auch ein Modul zur Ausnutzung von CVE-2021-4034, einer Privilegienerweiterung in der Linux-Komponente von Polkit. Dieses Modul ermöglicht es der Malware, auf weniger gut geschützten Servern als Root ausgeführt zu werden.
Hintergrund zu FritzFrog
Akamai überwacht über sein globales Sensornetzwerk kontinuierlich Bedrohungen, darunter auch solche, die bereits früher entdeckt wurden. Dazu gehört das FritzFrog-Botnet, ein Golang-basiertes Peer-to-Peer-Botnet, das sowohl AMD- als auch ARM-basierte Computer unterstützt. Die Malware wird aktiv gepflegt und hat sich im Laufe der Jahre durch Hinzufügen und Verbessern von Funktionen weiterentwickelt.
Log4Shell als Infektionsvektor
FritzFrog hat sich bisher auf SSH-Brute-Force als einzigen Infektionsvektor verlassen. Neuere Versionen der Malware enthalten jedoch eine weitere Schwachstelle, die Log4Shell-Exploit-Schwachstelle. Die Log4Shell-Schwachstelle löste im Dezember 2021 eine monatelange branchenweite Patch-Kampagne aus. Auch heute noch sind viele internetfähige Anwendungen für diese Schwachstelle anfällig. Diese stellt auch ein ernstes Problem für interne Hosts dar.
Als die Schwachstelle zum ersten Mal entdeckt wurde, wurden Internet-orientierte Anwendungen aufgrund ihres hohen Gefährdungsrisikos vorrangig gepatcht. Interne Rechner wurden dagegen oft vernachlässigt und blieben ungepatcht. Dies macht sich FritzFrog nun zunutze.
Fazit
Die Verlagerung der Taktiken hin zur Ausnutzung war ein wichtiger Trend für Bedrohungsakteure im Jahr 2023. One-Day- und Zero-Day-Exploits wurden ausgiebig genutzt und erwiesen sich als einige der effektivsten Methoden, um in Unternehmen einzudringen. Die Erweiterung des Arsenals von FritzFrog um Exploit-Funktionen zeigt eine ähnliche Verlagerung in diese Richtung. Der zusätzliche Infektionsvektor, der die Log4Shell-Schwachstelle ausnutzt, und das pkexec-Exploit-Modul sind zwei Ergänzungen, die diesen Wandel verdeutlichen. Akamai geht davon aus, dass sich dieser Trend in zukünftigen FritzFrog-Versionen fortsetzen wird und es wahrscheinlich nur eine Frage der Zeit ist, bis weitere Exploits der Malware hinzugefügt werden.
Akamai hat in einem Blog-Beitrag Indikatoren für eine Kompromittierung (IOCs) und zusätzliche Maßnahmen zur Verhinderung einer Infektion mit FritzFrog aufgelistet:
https://www.akamai.com/blog/security-research/fritzfrog-botnet-new-capabilities-log4shell
Akamai unterstützt und schützt das digitale Leben. Führende Unternehmen weltweit setzen bei der Erstellung, Bereitstellung und beim Schutz ihrer digitalen Erlebnisse auf Akamai. So unterstützen wir täglich Milliarden von Menschen in ihrem Alltag, bei der Arbeit und in ihrer Freizeit. Mithilfe der am meisten verteilten Computing-Plattform – von der Cloud bis zur Edge – ermöglichen wir es unseren Kunden, Anwendungen zu entwickeln und auszuführen. So bleiben die Erlebnisse nahe beim Nutzer und Bedrohungen werden ferngehalten. Möchten Sie mehr über die Sicherheits-, Computing- und Bereitstellungslösungen von Akamai erfahren? Dann besuchen Sie uns unter akamai.com/de und akamai.com/de/blog oder folgen Sie Akamai Technologies auf X und LinkedIn.
Akamai Technologies GmbH
Parkring 29
85748 Garching
Telefon: +49 (89) 94006-0
Telefax: +49 (89) 94006-006
http://www.akamai.com