بات‌نت (FritzFrog (P2P پس از گذشت یک سال دوباره فعال شده و سرورهای متعلق به نهادهای بهداشتی، آموزشی و نیز بخش‌های دولتی را ظرف یک ماه به خطر انداخته است.

به گزارش مرکز مدیریت راهبردی افتا، این بات نت که برای توسعه آن از Golang استفاده‌شده است، در طی یک ماه موفق شده است که 1500 میزبان را آلوده کند.
محققان Akamai در گزارشی که با The HACKER News به اشتراک گذاشته‌شده است، اعلام کرده‌اند: بات‌نت غیرمتمرکز هر سرور SSH اعم از موارد موجود در فضای ابری، سرورهای مرکز داده، روترها و غیره را هدف قرار می‌دهد و قابلیت اجرای هر بار مخربی را روی نودهای آلوده نیز خواهد داشت.
موج جدید حملات در اوایل دسامبر 2021 آغاز شد، این حملات در یک ماه فعالیت افزایش 10 برابری در نرخ آلودگی را به ثبت رسانده است و در ژانویه 2022 به 500 حادثه در روز رسید.
شرکت امنیت سایبری Akamai اعلام کرده که دستگاه‌های آلوده‌ای را در یک شبکه تلویزیونی اروپایی، یک شرکت روسی تولیدکننده تجهیزات مراقبت‌های بهداشتی و چندین دانشگاه در شرق آسیا شناسایی کرده است.
بات نت FritzFrog اولین بار توسط guardicore در آگوست 2020 گزارش شد و توانایی این بات نت در حمله و آلوده کردن بیش از 500 سرور در سراسر اروپا و ایالات‌متحده از ژانویه همان سال مشاهده شد. از سوی دیگر، تراکم زیادی از آلودگی‌های جدید در چین نیز مشاهده می‌شود.
یک محقق امنیتی به نام Ophir Harpaz در سال 2020 به این موضوع اشاره کرده است که:” Fritzfrog در پروسه آلوده ساختن سیستم‌های جدید و نیز اجرای فایل‌های مخرب، مانند Monero crypto miner، به قابلیت اشتراک‌گذاری فایل‌ها از طریق شبکه، متکی است.”
ساختار (P2P) بات نت باعث انعطاف‌پذیری آن می‌شود، چراکه هر یک از دستگاه‌های آسیب‌دیده در شبکه می‌توانند به‌عنوان یک سرور فرمان و کنترل (C2) عمل کنند. علاوه بر این، ظهور مجدد بات نت با ویژگی‌های جدیدی به عملکرد آن، از جمله استفاده از شبکه پروکسی و هدف قرار دادن سرورهای WordPress همراه بوده است.
زنجیره آلودگی از SSH شروع می‌شود سپس پیلود بدافزار drop  شده و پس‌ازآن نیز دستورالعمل‌های دریافتی از سرور C2 که شامل دریافت فایل‌های اجرایی بدافزار و ارسال اطلاعات سیستم می‌شود، اجرا می‌شود.
FritzFrog به دلیل استفاده از پروتکل P2P کاملاً اختصاصی است. درحالی‌که نسخه‌های قبلی در فرآیندهای مخرب به نام ifconfig و nginx اجرا می‌شدند، نسخه‌های اخیر تلاش می‌کنند فعالیت‌های خود را تحت نام‌های “apache2” و “php-fpm” پنهان کنند.
سایر ویژگی‌های جدید گنجانده‌شده در بدافزار شامل: استفاده از پروتکل کپی امن (SCP) برای کپی کردن خود به سرور راه دور، یک زنجیره پروکسی Tor به‌منظور پنهان کردن اتصالات SSH خروجی، زیرساختی برای ردیابی سرورهای WordPress برای حملات بعدی و یک مکانیسم لیست سیاه برای جلوگیری از آلوده کردن سیستم‌های ارزان‌قیمت مانند دستگاه‌های Raspberry Pi. است.
گنجاندن ویژگی SCP ممکن است اولین سرنخ را در مورد منشأ بدافزار ارائه دهد. Akamai در همین زمینه اشاره داشته است که این متن که در زبان برنامه‌نویسی Go نوشته‌شده است، توسط کاربری در شهر شانگهای چین در GitHub به اشتراک گذاشته‌شده است.
بخش دوم اطلاعاتی که این بدافزار را به چین مرتبط می‌کند از این واقعیت ناشی می‌شود که یکی از آدرس‌های کیف پول جدیدی که برای استخراج کریپتو استفاده می‌شود نیز به‌عنوان بخشی از کمپین بات‌نت Mozi استفاده می‌شود که اپراتورهای آن در سپتامبر گذشته در چین دستگیر شدند.

منبع:

https://thehackernews.com/2022/02/fritzfrog-p2p-botnet-attacking.html

https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2043/Staging/%D8%AD%D9%85%D9%84%D9%87-%D8%A8%D8%A7%D8%AA%E2%80%8C%D9%86%D8%AA-(FritzFrog-(P2P-%D8%A8%D9%87-%D8%A8%D8%AE%D8%B4%E2%80%8C%D9%87%D8%A7%DB%8C-%D8%A8%D9%87%D8%AF%D8%A7%D8%B4%D8%AA%DB%8C%D8%8C-%D8%A2%D9%85%D9%88%D8%B2%D8%B4%DB%8C-%D9%88-%D8%AF%D9%88%D9%84%D8%AA%DB%8C