O ator de ameaças por trás de uma botnet peer-to-peer (P2P) conhecida como FritzFrog retornou com uma nova variante que explora a vulnerabilidade do Log4Shell para se propagar internamente em uma rede já comprometida.
"A vulnerabilidade é explorada de maneira bruta, na tentativa de atingir o maior número possível de aplicações Java vulneráveis", a empresa de infraestrutura de web e segurança Akamai disse em um relatório compartilhado com o The Hacker News.
FritzFrog, documentado pela primeira vez pela Guardicore (agora parte da Akamai) em agosto de 2020, é um malware baseado em Golang que visa principalmente servidores expostos à internet com credenciais SSH fracas.
Ele é conhecido por estar ativo desde janeiro de 2020.
Desde então, ele evoluiu para atacar os setores de saúde, educação e governo, além de melhorar suas capacidades para implementar mineradores de criptomoedas em hosts infectados, afirmando mais de 1.500 vítimas ao longo dos anos.
O que é novo na última versão é o uso da vulnerabilidade Log4Shell como vetor secundário de infecção para selecionar especificamente os hosts internos, em vez de visar ativos publicamente acessíveis e vulneráveis.
A Akamai está rastreando a atividade sob o nome de Frog4Shell.
"Quando a vulnerabilidade foi descoberta pela primeira vez, as aplicações voltadas para a internet foram priorizadas para o patch devido ao alto risco de comprometimento", disse o pesquisador de segurança Ori David.
"Pelo contrário, os sistemas internos, que tinham menor probabilidade de serem explorados, foram frequentemente negligenciados e permaneceram sem patches - uma situação que FritzFrog aproveita."
Isso significa que mesmo se as aplicações voltadas para a internet foram corrigidas, uma violação em qualquer outro extremo pode expor sistemas internos não corrigidos à exploração e ajudar a propagar o malware.
O componente de força bruta SSH do FritzFrog também recebeu um upgrade para identificar alvos SSH específicos, enumerando vários logs do sistema em cada uma de suas vítimas.
Outra mudança notável no malware é o uso da falha do PwnKit, rastreada como
CVE-2021-4034
, para obter escalada de privilégios local.
"FritzFrog continua a empregar táticas para permanecer oculta e evitar a detecção", disse David.
"Em particular, ela toma um cuidado especial para evitar a queda de arquivos no disco sempre que possível."
Isso é realizado por meio do local de memória compartilhada /dev/shm, que também foi usado por outros malwares baseados em Linux, como BPFDoor e Commando Cat, e memfd_create para executar cargas úteis residentes na memória.
A revelação acontece quando a Akamai divulgou que a botnet InfectedSlurs está explorando ativamente falhas de segurança agora corrigidas (de
CVE-2024-22768
até
CVE-2024-22772
, e
CVE-2024-23842
) afetando vários modelos de dispositivos DVR da Hitron Systems para lançar ataques de negação de serviço distribuída (DDoS).
Achou este artigo interessante? Siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo que postamos.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...