Llamada "FritzFrog", es capaz de crear una puerta trasera en los sistemas de las víctimas
Investigadores de ciberseguridad anunciaron hoy detalles de una sofisticada y multifuncional botnet peer-to-peer (P2P - de igual a igual) escrita en Golang que ha estado apuntando activamente a los servidores SSH desde enero de 2020.
Llamada "FritzFrog", la botnet modular, multiproceso y sin archivos ha violado más de 500 servidores hasta la fecha, infectando reconocidas universidades en los EE. UU. y Europa, y una compañía ferroviaria, según un informe publicado hoy por Guardicore Labs.
"Con su infraestructura descentralizada, distribuye el control entre todos sus nodos", dijo Ophir Harpaz de Guardicore. "En esta red sin un solo punto de falla, los iguales se comunican constantemente entre sí para mantener la red viva, resistente y actualizada".
Además de implementar un protocolo P2P patentado que se ha escrito desde cero, las comunicaciones se realizan a través de un canal cifrado, con el malware capaz de crear una puerta trasera en los sistemas de las víctimas que otorga acceso continuo a los atacantes.
Una botnet P2P sin archivos
Aunque se han observado redes de bots basadas en GoLang, como Gandalf y GoBrut, FritzFrog parece compartir algunas similitudes con Rakos, otra puerta trasera de Linux basada en Golang que anteriormente se descubrió que se infiltraba en los sistemas de destino a través de intentos de fuerza bruta en los inicios de sesión SSH.
Pero lo que hace único a FritzFrog es que no tiene archivos, lo que significa que ensambla y ejecuta cargas útiles en la memoria, y es más agresivo al llevar a cabo ataques de fuerza bruta, al mismo tiempo que es eficiente al distribuir los objetivos de manera uniforme dentro de la botnet.
Una vez que se identifica una máquina objetivo, el malware realiza una serie de tareas que implican forzarla, infectar la máquina con cargas maliciosas en caso de una violación exitosa y agregar a la víctima a la red P2P.
Para pasar desapercibido, el malware se ejecuta como ifconfig y NGINX, y comienza a escuchar en el puerto 1234 para recibir más comandos para su ejecución, incluidos aquellos para sincronizar a la víctima con la base de datos de pares de la red y objetivos de fuerza bruta.
Los propios comandos se transmiten al malware a través de una serie de aros diseñados para evitar la detección. El nodo atacante en la botnet primero se engancha a una víctima específica a través de SSH y luego usa la utilidad NETCAT para establecer una conexión con un servidor remoto.
Además, los archivos de carga útil se intercambian entre nodos al estilo BitTorrent, empleando un enfoque de transferencia de archivos segmentados para enviar blobs de datos.
"Cuando un nodo A desea recibir un archivo de su par, el nodo B, puede consultar al nodo B qué blobs posee mediante el comando getblobstats", dijo Harpaz. "Luego, el nodo A puede obtener un blob específico por su hash, ya sea mediante el comando P2P getbin o mediante HTTP, con la URL 'https: // node_IP: 1234 / blob_hash'. Cuando el nodo A tiene todos los blobs necesarios, ensambla el archivo usando un módulo especial llamado Assemble y lo ejecuta".
Además de cifrar y codificar las respuestas de comando, el malware ejecuta un proceso separado, llamado "libexec", para extraer monedas Monero y deja una puerta trasera para el acceso futuro de la víctima agregando una clave pública al archivo de "authorized_keys" de SSH para que los inicios de sesión se puedan autenticar sin tener que depender de la contraseña nuevamente.
13.000 ataques detectados desde enero
La campaña comenzó el 9 de enero, según la firma de ciberseguridad, antes de alcanzar un acumulado de 13.000 ataques desde su primera aparición que abarcan 20 versiones diferentes del binario de malware.
Además de apuntar a las instituciones educativas, se ha descubierto que FritzFrog aplica la fuerza bruta a millones de direcciones IP que pertenecen a organizaciones gubernamentales, centros médicos, bancos y empresas de telecomunicaciones.
Guardicore Labs también ha puesto a disposición un script de detección que verifica si un servidor ha sido infectado por FritzFrog, junto con compartir los otros indicadores de compromiso (IoC).
"Las contraseñas débiles son el habilitador inmediato de los ataques de FritzFrog ", concluyó Harpaz. "Recomendamos elegir contraseñas seguras y usar autenticación de clave pública, que es mucho más seguro. Los enrutadores y dispositivos de IoT a menudo exponen SSH y, por lo tanto, son vulnerables a FritzFrog: considere cambiar su puerto SSH o deshabilitar completamente el acceso SSH a ellos si el servicio no está en uso".
