باتنت (FritzFrog (P۲P پس از گذشت یک سال دوباره فعال شده و سرورهای متعلق به نهادهای بهداشتی، آموزشی و نیز بخشهای دولتی را در یک ماه به خطر انداخته است.
محققان Akamai در گزارشی که با The HACKER News به اشتراک گذاشتهشده است، اعلام کردهاند: باتنت غیرمتمرکز هر سرور SSH اعم از موارد موجود در فضای ابری، سرورهای مرکز داده، روترها و ... را هدف قرار میدهد و قابلیت اجرای هر بار مخربی را روی نودهای آلوده نیز خواهد داشت.
بنابر این گزارش، موج جدید حملات در اوایل دسامبر ۲۰۲۱ آغاز شد، این حملات در یک ماه فعالیت افزایش ۱۰ برابری در نرخ آلودگی را به ثبت رسانده است و در ژانویه ۲۰۲۲ به ۵۰۰ حادثه در روز رسید.
شرکت امنیت سایبری Akamai اعلام کرده که دستگاههای آلودهای را در یک شبکه تلویزیونی اروپایی، یک شرکت روسی تولیدکننده تجهیزات مراقبتهای بهداشتی و چندین دانشگاه در شرق آسیا شناسایی کرده است.
بات نت FritzFrog اولین بار به دست guardicore در آگوست ۲۰۲۰ گزارش شد و توانایی این بات نت در حمله و آلوده کردن بیش از ۵۰۰ سرور در سراسر اروپا و ایالاتمتحده از ژانویه همان سال مشاهده شد. از سوی دیگر، تراکم زیادی از آلودگیهای جدید در چین نیز مشاهده میشود.
یک محقق امنیتی به نام Ophir Harpaz در سال ۲۰۲۰ به این موضوع اشاره کرده است که:" Fritzfrog در فرایند آلوده کردن شبکههای جدید و نیز اجرای فایلهای مخرب، مانند Monero crypto miner، به قابلیت اشتراکگذاری فایلها از طریق شبکه، متکی است. "
ساختار (P۲P) بات نت باعث انعطافپذیری آن میشود، چراکه هر یک از دستگاههای آسیبدیده در شبکه میتوانند بهعنوان یک سرور فرمان و کنترل (C۲) عمل کنند. علاوه بر این، ظهور مجدد بات نت با ویژگیهای جدیدی به عملکرد آن، از جمله استفاده از شبکه پروکسی و هدف قرار دادن سرورهای WordPress همراه بوده است.
زنجیره آلودگی از SSH شروع میشود سپس پیلود بدافزار drop شده و پسازآن نیز دستورالعملهای دریافتی از سرور C۲ اجرا میشود که شامل دریافت فایلهای اجرایی بدافزار و ارسال اطلاعات میشود.
FritzFrog به دلیل استفاده از پروتکل P۲P کاملاً اختصاصی است. درحالیکه نسخههای قبلی در فرآیندهای مخرب به نام ifconfig و nginx اجرا میشدند، نسخههای اخیر تلاش میکنند فعالیتهای خود را با نامهای "apache۲" و "php-fpm" پنهان کنند.
سایر ویژگیهای جدید گنجانده شده در بدافزار شامل: استفاده از پروتکل کپی امن (SCP) برای کپی کردن خود به سرور راه دور، یک زنجیره پروکسی Tor بهمنظور پنهان کردن اتصالات SSH خروجی، زیرساختی برای ردیابی سرورهای WordPress برای حملات بعدی و یک مکانیسم لیست سیاه برای جلوگیری از آلوده کردن سیستمهای ارزانقیمت مانند دستگاههای Raspberry Pi. است.
گنجاندن ویژگی SCP ممکن است اولین سرنخ را در مورد منشأ بدافزار ارائه دهد. Akamai در همین زمینه اشاره داشته است که این متن که در زبان برنامهنویسی Go نوشتهشده است، به دست کاربری در شهر شانگهای چین در GitHub به اشتراک گذاشتهشده است.
بخش دوم اطلاعاتی که این بدافزار را به چین مرتبط میکند از این واقعیت ناشی میشود که یکی از نشانیهای کیف پول جدیدی که برای استخراج کریپتو استفاده میشود نیز بهعنوان بخشی از کمپین باتنت Mozi استفاده میشود که اپراتورهای آن در سپتامبر گذشته در چین دستگیر شدند.