FritzFrog Torna: Log4Shell e PwnKit, Nuova Minaccia Malware nella Tua Rete
Il gruppo di minaccia dietro FritzFrog, la notoria botnet peer-to-peer (P2P), è tornato con una nuova variante, sfruttando la vulnerabilità Log4Shell per diffondersi all’interno di reti già compromesse.
Akamai, società di sicurezza e infrastruttura web, ha rivelato che la vulnerabilità viene sfruttata con un approccio brute-force, prendendo di mira un ampio numero di applicazioni Java vulnerabili. Questa tattica innovativa mira agli host interni anziché alle risorse pubblicamente accessibili, un approccio monitorato da Akamai con il nome Frog4Shell.
FritzFrog, inizialmente documentato da Guardicore nel 2020, è un malware basato su Golang noto per attaccare server internet-facing con credenziali SSH deboli. Nel corso degli anni, ha evoluto le sue capacità, colpendo settori come sanità, istruzione e governo, e distribuendo miner di criptovaluta su oltre 1.500 vittime.
La peculiarità della nuova versione è l’utilizzo della vulnerabilità Log4Shell come vettore di infezione secondario, sfruttando la trascuratezza delle macchine interne nelle patch di sicurezza. Anche il componente brute-force SSH è stato aggiornato per identificare specifici obiettivi SSH, e FritzFrog utilizza la falla PwnKit (CVE-2021-4034) per ottenere l’escalation dei privilegi locali.
Il ricercatore di sicurezza Ori David sottolinea le tattiche evasive del malware, tra cui l’attenzione a evitare il salvataggio di file su disco quando possibile, utilizzando la memoria condivisa /dev/shm. Questa tattica, condivisa anche da altri malware Linux come BPFDoor e Commando Cat, contribuisce alla stealthiness del malware.
La divulgazione arriva insieme alla rivelazione di Akamai riguardo all’attiva sfruttamento, da parte della botnet InfectedSlurs, di falle di sicurezza ormai patchate, causando attacchi di denial-of-service (DDoS) su dispositivi DVR di Hitron Systems. Resta aggiornato per ulteriori sviluppi su questa minaccia in evoluzione.