Das Botnetz FritzFrog kehrt zurück

FritzFrog, ein ursprünglich von Akamai im Jahr 2020 identifiziertes Botnetz, hat seine Fähigkeiten erweitert. Die Akamai Security Intelligence Group (SIG) hat Details zu einer neuen Variante aufgedeckt, die nun auch die bekannte Log4Shell-Schwachstelle aus dem Jahr 2021 ausnutzt.

Im Laufe der Jahre hat Akamai mehr als 20.000 FritzFrog-Attacken und mehr als 1.500 Angriffsziele beobachtet.

Die Malware infiziert Server, die mit dem Internet verbunden sind, indem sie schwache SSH-Anmeldeinformationen erzwingt. Neuere Varianten lesen nun mehrere Systemdateien auf kompromittierten Hosts aus, um potenzielle Angriffsziele zu identifizieren, die mit hoher Wahrscheinlichkeit anfällig sind.

Die Schwachstelle wird mit einer Brute-Force-Methode ausgenutzt, bei der versucht wird, möglichst viele anfällige Java-Anwendungen anzugreifen. Die Malware enthält jetzt auch ein Modul zur Ausnutzung von CVE-2021-4034, einer Privilegienerweiterung in der Linux-Komponente von Polkit. Dieses Modul ermöglicht es der Malware, auf weniger gut geschützten Servern als Root ausgeführt zu werden. 

Hintergrund zu FritzFrog

Akamai überwacht über sein globales Sensornetzwerk kontinuierlich Bedrohungen, darunter auch solche, die bereits früher entdeckt wurden. Dazu gehört das FritzFrog-Botnet, ein Golang-basiertes Peer-to-Peer-Botnet, das sowohl AMD- als auch ARM-basierte Computer unterstützt. Die Malware wird aktiv gepflegt und hat sich im Laufe der Jahre durch Hinzufügen und Verbessern von Funktionen weiterentwickelt. 

Log4Shell als Infektionsvektor

FritzFrog hat sich bisher auf SSH-Brute-Force als einzigen Infektionsvektor verlassen. Neuere Versionen der Malware enthalten jedoch eine weitere Schwachstelle, die Log4Shell-Exploit-Schwachstelle. Die Log4Shell-Schwachstelle löste im Dezember 2021 eine monatelange branchenweite Patch-Kampagne aus. Auch heute noch sind viele internetfähige Anwendungen für diese Schwachstelle anfällig. Diese stellt auch ein ernstes Problem für interne Hosts dar.

Als die Schwachstelle zum ersten Mal entdeckt wurde, wurden Internet-orientierte Anwendungen aufgrund ihres hohen Gefährdungsrisikos vorrangig gepatcht. Interne Rechner wurden dagegen oft vernachlässigt und blieben ungepatcht. Dies macht sich FritzFrog nun zunutze.

Fazit

Die Verlagerung der Taktiken hin zur Ausnutzung war ein wichtiger Trend für Bedrohungsakteure im Jahr 2023. One-Day- und Zero-Day-Exploits wurden ausgiebig genutzt und erwiesen sich als einige der effektivsten Methoden, um in Unternehmen einzudringen. Die Erweiterung des Arsenals von FritzFrog um Exploit-Funktionen zeigt eine ähnliche Verlagerung in diese Richtung. Der zusätzliche Infektionsvektor, der die Log4Shell-Schwachstelle ausnutzt, und das pkexec-Exploit-Modul sind zwei Ergänzungen, die diesen Wandel verdeutlichen. Akamai geht davon aus, dass sich dieser Trend in zukünftigen FritzFrog-Versionen fortsetzen wird und es wahrscheinlich nur eine Frage der Zeit ist, bis weitere Exploits der Malware hinzugefügt werden.

Akamai hat in einem Blog-Beitrag Indikatoren für eine Kompromittierung (IOCs) und zusätzliche Maßnahmen zur Verhinderung einer Infektion mit FritzFrog aufgelistet:
https://www.akamai.com/blog/security-research/fritzfrog-botnet-new-capabilities-log4shell

Über die Akamai Technologies GmbH

Akamai unterstützt und schützt das digitale Leben. Führende Unternehmen weltweit setzen bei der Erstellung, Bereitstellung und beim Schutz ihrer digitalen Erlebnisse auf Akamai. So unterstützen wir täglich Milliarden von Menschen in ihrem Alltag, bei der Arbeit und in ihrer Freizeit. Mithilfe der am meisten verteilten Computing-Plattform – von der Cloud bis zur Edge – ermöglichen wir es unseren Kunden, Anwendungen zu entwickeln und auszuführen. So bleiben die Erlebnisse nahe beim Nutzer und Bedrohungen werden ferngehalten. Möchten Sie mehr über die Sicherheits-, Computing- und Bereitstellungslösungen von Akamai erfahren? Dann besuchen Sie uns unter akamai.com/de und akamai.com/de/blog oder folgen Sie Akamai Technologies auf X und LinkedIn.

Firmenkontakt und Herausgeber der Meldung:

Akamai Technologies GmbH
Parkring 29
85748 Garching
Telefon: +49 (89) 94006-0
Telefax: +49 (89) 94006-006
http://www.akamai.com

Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel