FritzFrog, Log4Shell ve PwnKit ile Geri Dönüyor, Kötü Amaçlı Yazılımları Ağınıza Yayıyor
FritzFrog olarak bilinen eşler arası (P2P) botnet'in arkasındaki tehdit aktörü, zaten güvenliği ihlal edilmiş bir ağ içinde dahili olarak yayılmak için Log4Shell güvenlik açığından yararlanan yeni bir varyantla geri döndü.
Web altyapısı ve güvenlik şirketi Akamai, paylaşılan bir raporda, "Güvenlik açığı, mümkün olduğunca çok sayıda savunmasız Java uygulamasını hedeflemeye çalışan kaba kuvvet yoluyla kullanılıyor" dedi.
İlk olarak Ağustos 2020'de Guardicore (şimdi Akamai'nin bir parçası) tarafından belgelenen FritzFrog, öncelikle zayıf SSH kimlik bilgilerine sahip internete açık sunucuları hedefleyen Golang tabanlı bir kötü amaçlı yazılımdır. Ocak 2020'den beri aktif olduğu biliniyor.
O zamandan beri sağlık, eğitim ve devlet sektörlerini vurmak için gelişti ve nihayetinde kripto para madencilerini virüslü ana bilgisayarlara dağıtma yeteneklerini geliştirdi ve yıllar içinde 1.500'den fazla kurban olduğunu iddia etti.
En son sürümle ilgili yeni olan şey, Log4Shell güvenlik açığının, savunmasız, herkesin erişebileceği varlıkları hedeflemek yerine, dahili ana bilgisayarları özel olarak ayırmak için ikincil bir enfeksiyon vektörü olarak kullanılmasıdır. Akamai, etkinliği Frog4Shell adı altında izliyor.
Güvenlik araştırmacısı Ori David, "Güvenlik açığı ilk keşfedildiğinde, önemli güvenlik riskleri nedeniyle internete yönelik uygulamalara yama için öncelik verildi" dedi.
"Buna karşılık, istismar edilme olasılığı daha düşük olan dahili makineler genellikle ihmal edildi ve yamasız kaldı - FritzFrog'un yararlandığı bir durum."
Bu, internete yönelik uygulamalara yama uygulanmış olsa bile, başka herhangi bir uç noktanın ihlalinin, yama uygulanmamış dahili sistemleri istismara maruz bırakabileceği ve kötü amaçlı yazılımın yayılmasına yardımcı olabileceği anlamına gelir.
FritzFrog'un SSH kaba kuvvet bileşeni, kurbanlarının her birinde birkaç sistem günlüğünü numaralandırarak belirli SSH hedeflerini belirlemek için kendi başına bir makyaj aldı.
Kötü amaçlı yazılımdaki bir diğer önemli değişiklik, yerel ayrıcalık yükseltmesi elde etmek için CVE-2021-4034 olarak izlenen PwnKit kusurunun kullanılmasıdır.
David, "FritzFrog gizli kalmak ve tespit edilmekten kaçınmak için taktikler kullanmaya devam ediyor" dedi. "Özellikle, mümkün olduğunda dosyaları diske bırakmaktan kaçınmak için özel bir özen gösteriliyor."
Bu, BPFDoor ve Commando Cat gibi diğer Linux tabanlı kötü amaçlı yazılımlar tarafından da kullanılan ve bellekte yerleşik yükleri yürütmek için memfd_create paylaşılan bellek konumu /dev/shm aracılığıyla gerçekleştirilir.
Açıklama, Akamai'nin InfectedSlurs botnet'in şu anda yamalı güvenlik kusurlarından (CVE-2024-22768'den CVE-2024-22772'ye ve CVE-2024-23842'ye kadar) aktif olarak yararlandığını ve dağıtılmış hizmet reddi (DDoS) saldırıları başlatmak için Hitron Systems'ın birden fazla DVR cihaz modelini etkilediğini ortaya çıkarmasıyla geldi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı