Das FritzFrog Botnet ist zurück

Das FritzFrog-Botnetz, das erstmals im August 2020 dokumentiert wurde, ist in einer neuen Variante zurückgekehrt, die die Log4Shell-Schwachstelle (CVE-2021-44228) nutzt, um sich innerhalb eines bereits kompromittierten Netzwerks zu verbreiten. Diese Malware, die in Golang geschrieben ist, zielt hauptsächlich auf internetfähige Server ab, indem sie schwache SSH-Anmeldeinformationen durch Brute-Force-Methoden angreift. Seit seiner Entdeckung hat FritzFrog eine Evolution durchgemacht und zielt nun neben dem Gesundheitswesen, der Bildung und der Regierung auch auf andere Sektoren ab, mit dem ultimativen Ziel, Kryptowährungs-Miner auf infizierten Hosts zu implementieren​​.

Eine Besonderheit der neuesten Version ist der gezielte Einsatz der Log4Shell-Schwachstelle als sekundärer Infektionsvektor, um speziell interne Hosts anzusprechen, anstatt auf öffentlich zugängliche, anfällige Assets abzuzielen. Dies deutet darauf hin, dass die Malware auch ungeschützte interne Systeme ausnutzen kann, selbst wenn internetfacing-Anwendungen bereits gepatcht wurden. Darüber hinaus wurde die SSH-Brute-Force-Komponente von FritzFrog weiterentwickelt, um spezifische SSH-Ziele durch Auswertung verschiedener Systemprotokolle auf jedem seiner Opfer zu identifizieren. Eine weitere bemerkenswerte Änderung ist die Ausnutzung der PwnKit-Schwachstelle (CVE-2021-4034) zur lokalen Privilegienerhöhung​​.

Das FritzFrog-Botnetz nutzt auch die PwnKit-Schwachstelle (CVE-2021-4034) für seitliche Bewegungen und Privilegienerhöhung. Jeder kompromittierte Host wird Teil des FritzFrog-Netzwerks und kommuniziert mit seinen infizierten Kollegen, um Informationen, Payloads und Konfigurationen zu teilen. Die Malware zielt darauf ab, alle Hosts im internen Netzwerk zu kompromittieren, entweder durch SSH-Brute-Forcing oder durch Ausnutzung der berüchtigten Log4Shell-Schwachstelle. FritzFrog versucht, potenzielle Log4Shell-Ziele zu identifizieren, indem es nach Java HTTP-Servern auf Ports 8080, 8090, 8888 und 9000 sucht​​.

Um sich gegen das FritzFrog-Botnetz zu verteidigen, wird vorgeschlagen, den SSH-Zugang zu den Servern durch lange und einzigartige Passwörter zu sichern und auch nur intern betriebene alte Java Server mit Log4J Schwachstelle upzudaten.

Related Posts

Syslog Schwachstelle in Linux ermöglicht Root Rechte Eskalation

Ein signifikanter Sicherheitsmangel, der als CVE-2023-6246 verfolgt wird, wurde in der GNU C Bibliothek (glibc) entdeckt, der mehrere Linux-Distributionen betrifft. Diese Schwachstelle ist ein heap-basierter Buffer Overflow, der sich in der Funktion __vsyslog_internal() befindet, welche von syslog() und vsyslog() für Systemprotokollierung verwendet wird. Der Fehler wurde versehentlich in der glibc-Version 2.37 eingeführt, die im August 2022 veröffentlicht wurde, und hat erhebliche Auswirkungen, da er ein Potenzial für lokale Rechteerweiterung bietet. Dies bedeutet, dass ein nicht privilegierter Benutzer diese Schwachstelle ausnutzen könnte, um vollständigen Root-Zugriff auf ein System zu erlangen, indem er speziell gestaltete Eingaben an Anwendungen liefert, die diese Protokollierungsfunktionen verwenden​​​​.

Read More

Kritische Sicherheitslücke bei VMware wird aktiv ausgenutzt

Im Jahr 2024 stand VMware aufgrund von Sicherheitslücken in seinen Produkten, insbesondere im vCenter Server und in Aria Automation, vor erheblichen Sicherheitsherausforderungen. Diese Schwachstellen wurden in Cyberangriffen ausgenutzt, insbesondere Chinesische organisierte Hackergruppe UNC3886 steht im Verdacht, die Zero-Day Vulnerabililties gezielt seit 2 Jahren auszunutzen. Diese Gruppe ist dafür bekannt, Sicherheitslücken in Technologien auszunutzen, die keine Endpoint Detection and Response (EDR) Lösungen unterstützen, um unentdeckt zu bleiben.

Read More

Password Spray Attack

Ein “Password Spray Attack” (Passwort-Sprühangriff) ist eine Art von Cyberangriff, bei dem der Angreifer versucht, unbefugten Zugang zu einer großen Anzahl von Konten zu erlangen, indem er einige häufig verwendete Passwörter benutzt. Dieser Angriff unterscheidet sich von traditionellen Brute-Force-Angriffen durch seine Herangehensweise. Bei einem Brute-Force-Angriff versucht der Angreifer, viele Passwörter bei einem Benutzernamen auszuprobieren. Im Gegensatz dazu verwendet der Angreifer bei einem Passwort-Sprühangriff ein paar gängige Passwörter, probiert diese jedoch bei vielen Benutzernamen aus.

Read More