Das FritzFrog-Botnetz, das erstmals im August 2020 dokumentiert wurde, ist in einer neuen Variante zurückgekehrt, die die Log4Shell-Schwachstelle (CVE-2021-44228) nutzt, um sich innerhalb eines bereits kompromittierten Netzwerks zu verbreiten. Diese Malware, die in Golang geschrieben ist, zielt hauptsächlich auf internetfähige Server ab, indem sie schwache SSH-Anmeldeinformationen durch Brute-Force-Methoden angreift. Seit seiner Entdeckung hat FritzFrog eine Evolution durchgemacht und zielt nun neben dem Gesundheitswesen, der Bildung und der Regierung auch auf andere Sektoren ab, mit dem ultimativen Ziel, Kryptowährungs-Miner auf infizierten Hosts zu implementieren.
Eine Besonderheit der neuesten Version ist der gezielte Einsatz der Log4Shell-Schwachstelle als sekundärer Infektionsvektor, um speziell interne Hosts anzusprechen, anstatt auf öffentlich zugängliche, anfällige Assets abzuzielen. Dies deutet darauf hin, dass die Malware auch ungeschützte interne Systeme ausnutzen kann, selbst wenn internetfacing-Anwendungen bereits gepatcht wurden. Darüber hinaus wurde die SSH-Brute-Force-Komponente von FritzFrog weiterentwickelt, um spezifische SSH-Ziele durch Auswertung verschiedener Systemprotokolle auf jedem seiner Opfer zu identifizieren. Eine weitere bemerkenswerte Änderung ist die Ausnutzung der PwnKit-Schwachstelle (CVE-2021-4034) zur lokalen Privilegienerhöhung.
Das FritzFrog-Botnetz nutzt auch die PwnKit-Schwachstelle (CVE-2021-4034) für seitliche Bewegungen und Privilegienerhöhung. Jeder kompromittierte Host wird Teil des FritzFrog-Netzwerks und kommuniziert mit seinen infizierten Kollegen, um Informationen, Payloads und Konfigurationen zu teilen. Die Malware zielt darauf ab, alle Hosts im internen Netzwerk zu kompromittieren, entweder durch SSH-Brute-Forcing oder durch Ausnutzung der berüchtigten Log4Shell-Schwachstelle. FritzFrog versucht, potenzielle Log4Shell-Ziele zu identifizieren, indem es nach Java HTTP-Servern auf Ports 8080, 8090, 8888 und 9000 sucht.
Um sich gegen das FritzFrog-Botnetz zu verteidigen, wird vorgeschlagen, den SSH-Zugang zu den Servern durch lange und einzigartige Passwörter zu sichern und auch nur intern betriebene alte Java Server mit Log4J Schwachstelle upzudaten.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: