El actor de amenazas detrás de una botnet peer-to-peer (P2P) conocida como Rana Fritz ha regresado con una nueva variante que aprovecha la Vulnerabilidad de Log4Shell propagarse internamente dentro de una red ya comprometida.
«La vulnerabilidad se explota con fuerza bruta e intenta atacar tantas aplicaciones Java vulnerables como sea posible», dijo la empresa de seguridad e infraestructura web Akamai. dicho en un informe compartido con The Hacker News.
rana fritz, documentado por primera vez por Guardicore (ahora parte de Akamai) en agosto de 2020, es un malware basado en Golang que se dirige principalmente a servidores conectados a Internet con credenciales SSH débiles. Se sabe que está activo desde enero de 2020.
Tiene desde que evolucionó para atacar los sectores de salud, educación y gobierno, además de mejorar sus capacidades para, en última instancia, implementar mineros de criptomonedas en hosts infectados.
Lo novedoso de la última versión es el uso de la vulnerabilidad Log4Shell como vector de infección secundario para identificar específicamente los hosts internos en lugar de apuntar a activos vulnerables de acceso público.
«Cuando se descubrió la vulnerabilidad por primera vez, se dio prioridad a la aplicación de parches en las aplicaciones conectadas a Internet debido a su importante riesgo de compromiso», dijo el investigador de seguridad Ori David.
«Por el contrario, las máquinas internas, que tenían menos probabilidades de ser explotadas, a menudo fueron descuidadas y no fueron parcheadas, una circunstancia que FritzFrog aprovecha».
Esto significa que incluso si las aplicaciones conectadas a Internet han sido parcheadas, una infracción de cualquier otro punto final puede exponer a la explotación los sistemas internos sin parches y propagar el malware.
El componente de fuerza bruta SSH de FritzFrog también recibió su propio lavado de cara para identificar objetivos SSH específicos enumerando varios registros del sistema en cada una de sus víctimas.
Otro cambio notable en el malware es el uso del Defecto de PwnKit rastreado como CVE-2021-4034 para lograr una escalada de privilegios local.
«FritzFrog continúa empleando tácticas para permanecer oculto y evitar ser detectado», dijo David. «En particular, se tiene especial cuidado en evitar colocar archivos en el disco cuando sea posible».
Esto se logra mediante la ubicación de memoria compartida /dev/shm, que también ha sido utilizada por otro malware basado en Linux como BPFPuerta y Gato comandoy memfd_create para ejecutar cargas útiles residentes en la memoria.
La revelación llega cuando Akamai reveló que el Botnet InfectedSlurs está explotando activamente fallas de seguridad ahora parcheadas (desde CVE-2024-22768 hasta CVE-2024-22772 y CVE-2024-23842) que afectan a múltiples modelos de dispositivos DVR de Hitron Systems para lanzar ataques distribuidos de denegación de servicio (DDoS).