Un botnet peer-to-peer Golang a refait surface après plus d’un an pour compromettre les serveurs appartenant à des entités des secteurs de la santé, de l’éducation et du gouvernement en l’espace d’un mois, infectant un total de 1 500 hôtes.

Doublé FritzGrenouille« le botnet décentralisé cible tout appareil qui expose un serveur SSH – instances cloud, serveurs de centre de données, routeurs, etc. – et est capable d’exécuter n’importe quelle charge utile malveillante sur des nœuds infectés », ont déclaré les chercheurs d’Akamai dans un communiqué. rapport partagé avec The Hacker News.

La nouvelle vague d’attaques a commencé début décembre 2021, pour s’accélérer et enregistrer une multiplication par 10 de son taux d’infection en un mois, tout en culminant à 500 incidents par jour en janvier 2022. La société de cybersécurité a déclaré avoir détecté des machines infectées dans un réseau de chaînes de télévision européennes, un fabricant russe d’équipements de santé et plusieurs universités en Asie de l’Est.

FritzFrog a été documenté pour la première fois par Guardicore en août 2020, élaborant la compétence du botnet pour frapper et infecter plus de 500 serveurs en Europe et aux États-Unis depuis janvier de cette année. Une grande concentration des nouvelles infections, en revanche, se situe en Chine.

« Fritzfrog s’appuie sur la capacité de partager des fichiers sur le réseau, à la fois pour infecter de nouvelles machines et exécuter des charges utiles malveillantes, telles que le crypto-mineur Monero », a observé le chercheur en sécurité Ophir Harpaz en 2020.

L’architecture peer-to-peer (P2P) du botnet le rend résilient dans la mesure où chaque machine compromise du réseau distribué peut agir comme un serveur de commande et de contrôle (C2) par opposition à un hôte centralisé unique. De plus, la réapparition du botnet s’est accompagnée de nouveaux ajouts à ses fonctionnalités, notamment l’utilisation d’un réseau proxy et le ciblage des serveurs WordPress.

La chaîne d’infection se propage sur SSH pour déposer une charge utile de malware qui exécute ensuite les instructions reçues du serveur C2 pour exécuter des binaires de malware supplémentaires ainsi que pour collecter des informations et des fichiers système, avant de les exfiltrer vers le serveur.

FritzFrog se distingue par le fait que le protocole P2P utilisé est entièrement propriétaire. Alors que les versions antérieures du processus malveillant se faisaient passer pour « ifconfig » et « nginx », les variantes récentes tentent de dissimuler leurs activités sous les noms « apache2 » et « php-fpm ».

D’autres nouvelles caractéristiques incorporées dans le logiciel malveillant incluent l’utilisation d’un protocole de copie sécurisée (SCP) pour se copier sur le serveur distant, un chaînage proxy Tor pour masquer les connexions SSH sortantes, une infrastructure pour suivre les serveurs WordPress pour les attaques de suivi et un mécanisme de liste de blocage pour éviter d’infecter les systèmes bas de gamme tels que les appareils Raspberry Pi.

« Une adresse IP de la liste noire provient de Russie. Elle a plusieurs ports ouverts et une longue liste de vulnérabilités non corrigées, il peut donc s’agir d’un pot de miel », ont déclaré les chercheurs. « De plus, une deuxième entrée pointe vers un gouffre de botnet open source. Ces deux entrées suggèrent que les opérateurs tentent d’échapper à la détection et à l’analyse. »

L’inclusion de la fonctionnalité SCP peut également avoir donné le premier indice sur les origines du malware. Akamai a souligné que la bibliothèque, écrite en Go, a été partagé sur GitHub par un utilisateur situé dans la ville chinoise de Shanghai.

Une deuxième information reliant le malware à la Chine provient du fait que l’une des nouvelles adresses de portefeuille utilisées pour le minage de crypto a également été utilisée dans le cadre de la campagne de botnet Mozi, dont les opérateurs ont été arrêtés en Chine en septembre dernier.

« Ces éléments de preuve, bien qu’ils ne soient pas accablants, nous amènent à croire qu’il existe un lien possible avec un acteur opérant en Chine, ou un acteur se faisant passer pour un Chinois », ont conclu les chercheurs.