باتنت (FritzFrog (P2P پس از گذشت یک سال دوباره فعال شده و سرورهای متعلق به نهادهای بهداشتی، آموزشی و نیز بخشهای دولتی را ظرف یک ماه به خطر انداخته است.
به گزارش مرکز مدیریت راهبردی افتا، این بات نت که برای توسعه آن از Golang استفادهشده است، در طی یک ماه موفق شده است که 1500 میزبان را آلوده کند.
محققان Akamai در گزارشی که با The HACKER News به اشتراک گذاشتهشده است، اعلام کردهاند: باتنت غیرمتمرکز هر سرور SSH اعم از موارد موجود در فضای ابری، سرورهای مرکز داده، روترها و غیره را هدف قرار میدهد و قابلیت اجرای هر بار مخربی را روی نودهای آلوده نیز خواهد داشت.
موج جدید حملات در اوایل دسامبر 2021 آغاز شد، این حملات در یک ماه فعالیت افزایش 10 برابری در نرخ آلودگی را به ثبت رسانده است و در ژانویه 2022 به 500 حادثه در روز رسید.
شرکت امنیت سایبری Akamai اعلام کرده که دستگاههای آلودهای را در یک شبکه تلویزیونی اروپایی، یک شرکت روسی تولیدکننده تجهیزات مراقبتهای بهداشتی و چندین دانشگاه در شرق آسیا شناسایی کرده است.
بات نت FritzFrog اولین بار توسط guardicore در آگوست 2020 گزارش شد و توانایی این بات نت در حمله و آلوده کردن بیش از 500 سرور در سراسر اروپا و ایالاتمتحده از ژانویه همان سال مشاهده شد. از سوی دیگر، تراکم زیادی از آلودگیهای جدید در چین نیز مشاهده میشود.
یک محقق امنیتی به نام Ophir Harpaz در سال 2020 به این موضوع اشاره کرده است که:” Fritzfrog در پروسه آلوده ساختن سیستمهای جدید و نیز اجرای فایلهای مخرب، مانند Monero crypto miner، به قابلیت اشتراکگذاری فایلها از طریق شبکه، متکی است.”
ساختار (P2P) بات نت باعث انعطافپذیری آن میشود، چراکه هر یک از دستگاههای آسیبدیده در شبکه میتوانند بهعنوان یک سرور فرمان و کنترل (C2) عمل کنند. علاوه بر این، ظهور مجدد بات نت با ویژگیهای جدیدی به عملکرد آن، از جمله استفاده از شبکه پروکسی و هدف قرار دادن سرورهای WordPress همراه بوده است.
زنجیره آلودگی از SSH شروع میشود سپس پیلود بدافزار drop شده و پسازآن نیز دستورالعملهای دریافتی از سرور C2 که شامل دریافت فایلهای اجرایی بدافزار و ارسال اطلاعات سیستم میشود، اجرا میشود.
FritzFrog به دلیل استفاده از پروتکل P2P کاملاً اختصاصی است. درحالیکه نسخههای قبلی در فرآیندهای مخرب به نام ifconfig و nginx اجرا میشدند، نسخههای اخیر تلاش میکنند فعالیتهای خود را تحت نامهای “apache2” و “php-fpm” پنهان کنند.
سایر ویژگیهای جدید گنجاندهشده در بدافزار شامل: استفاده از پروتکل کپی امن (SCP) برای کپی کردن خود به سرور راه دور، یک زنجیره پروکسی Tor بهمنظور پنهان کردن اتصالات SSH خروجی، زیرساختی برای ردیابی سرورهای WordPress برای حملات بعدی و یک مکانیسم لیست سیاه برای جلوگیری از آلوده کردن سیستمهای ارزانقیمت مانند دستگاههای Raspberry Pi. است.
گنجاندن ویژگی SCP ممکن است اولین سرنخ را در مورد منشأ بدافزار ارائه دهد. Akamai در همین زمینه اشاره داشته است که این متن که در زبان برنامهنویسی Go نوشتهشده است، توسط کاربری در شهر شانگهای چین در GitHub به اشتراک گذاشتهشده است.
بخش دوم اطلاعاتی که این بدافزار را به چین مرتبط میکند از این واقعیت ناشی میشود که یکی از آدرسهای کیف پول جدیدی که برای استخراج کریپتو استفاده میشود نیز بهعنوان بخشی از کمپین باتنت Mozi استفاده میشود که اپراتورهای آن در سپتامبر گذشته در چین دستگیر شدند.
منبع:
https://thehackernews.com/2022/02/fritzfrog-p2p-botnet-attacking.html
دیدگاه شما