FritzFrog, ein ursprünglich von Akamai im Jahr 2020 identifiziertes Botnetz, hat seine Fähigkeiten erweitert. Die Akamai Security Intelligence Group (SIG) hat Details zu einer neuen Variante aufgedeckt, die nun auch die bekannte Log4Shell-Schwachstelle aus dem Jahr 2021 ausnutzt. Im Laufe der Jahre hat Akamai mehr als 20.000 FritzFrog-Attacken und mehr als 1.500 Angriffsziele beobachtet.
Die Malware infiziert Server, die mit dem Internet verbunden sind, indem sie schwache SSH-Anmeldeinformationen erzwingt. Neuere Varianten lesen nun mehrere Systemdateien auf kompromittierten Hosts aus, um potenzielle Angriffsziele zu identifizieren, die mit hoher Wahrscheinlichkeit anfällig sind.
Die Schwachstelle wird mit einer Brute-Force-Methode ausgenutzt, bei der versucht wird, möglichst viele anfällige Java-Anwendungen anzugreifen. Die Malware enthält jetzt auch ein Modul zur Ausnutzung von CVE-2021-4034, einer Privilegienerweiterung in der Linux-Komponente von Polkit. Dieses Modul ermöglicht es der Malware, auf weniger gut geschützten Servern als Root ausgeführt zu werden.
Hintergrund zu FritzFrog
Akamai überwacht über sein globales Sensornetzwerk kontinuierlich Bedrohungen, darunter auch solche, die bereits früher entdeckt wurden. Dazu gehört das FritzFrog-Botnet, ein Golang-basiertes Peer-to-Peer-Botnet, das sowohl AMD- als auch ARM-basierte Computer unterstützt. Die Malware wird aktiv gepflegt und hat sich im Laufe der Jahre durch Hinzufügen und Verbessern von Funktionen weiterentwickelt.
Log4Shell als Infektionsvektor
FritzFrog hat sich bisher auf SSH-Brute-Force als einzigen Infektionsvektor verlassen. Neuere Versionen der Malware enthalten jedoch eine weitere Schwachstelle, die Log4Shell-Exploit-Schwachstelle. Die Log4Shell-Schwachstelle löste im Dezember 2021 eine monatelange branchenweite Patch-Kampagne aus. Auch heute noch sind viele internetfähige Anwendungen für diese Schwachstelle anfällig.
Diese stellt auch ein ernstes Problem für interne Hosts dar. Als die Schwachstelle zum ersten Mal entdeckt wurde, wurden Internet-orientierte Anwendungen aufgrund ihres hohen Gefährdungsrisikos vorrangig gepatcht. Interne Rechner wurden dagegen oft vernachlässigt und blieben ungepatcht. Dies macht sich FritzFrog nun zunutze.
Fazit
Die Verlagerung der Taktiken hin zur Ausnutzung war ein wichtiger Trend für Bedrohungsakteure im Jahr 2023. One-Day- und Zero-Day-Exploits wurden ausgiebig genutzt und erwiesen sich als einige der effektivsten Methoden, um in Unternehmen einzudringen. Die Erweiterung des Arsenals von FritzFrog um Exploit-Funktionen zeigt eine ähnliche Verlagerung in diese Richtung.
Der zusätzliche Infektionsvektor, der die Log4Shell-Schwachstelle ausnutzt, und das pkexec-Exploit-Modul sind zwei Ergänzungen, die diesen Wandel verdeutlichen. Akamai geht davon aus, dass sich dieser Trend in zukünftigen FritzFrog-Versionen fortsetzen wird und es wahrscheinlich nur eine Frage der Zeit ist, bis weitere Exploits der Malware hinzugefügt werden.