FritzFrog P2P ボットネットが医療/教育/政府などの組織に蔓延

FritzFrog P2P Botnet Attacking Healthcare, Education and Government Sectors

2022/02/10 TheHackerNews — P2P の Golang ボットネットが、1年以上の時を経て再登場し、1ヶ月の間に合計 1,500台のホストに感染し、医療/教育/政府機関のサーバーを危険にさらしている。FritzFrog と名付けられた、この分散型ボットネットは、SSH サーバーを公開 (クラウドインスタンス/データセンターサーバー/ルーターなど) している、あらゆるデバイスを標的としており、感染したノード上で悪意のペイロードを実行できる」と、Akamai の研究者が HackerNews に寄せたレポートで述べている。

この新しい攻撃の波は 2021年12月初旬に始まり、1ヶ月後には感染率が 10倍に増加し、2022年1月には 500件/日の感染が発生した。サイバー・セキュリティ企業によると、ヨーロッパのテレビチャンネル・ネットワーク/ロシアの医療機器メーカー/東アジアの大学などで感染したマシンが検出されたとのことだ。

FritzFrog は、2020年8月に Guardicore により初めて文書化され、2021年1月以降に欧州と米国の 500台以上のサーバーを攻撃していると、このボットネットの習熟度が詳しく説明されている。その一方で、新たな感染者の多くは中国に存在している。

セキュリティ研究者の Ophir Harpaz は、「Fritzfrog は、ネットワーク上でファイルを共有することで、新しいマシンへと感染し、Monero 暗号採掘機などの悪意のペイロードを実行している」と述べている。

このボットネットは、P2P アーキテクチャを採用しているため、単一の集中型ホストではなく、分散型ネットワーク内の全ての感染したマシンが、Command and Control (C2) サーバーとして機能するという点で、回復力に優れている。さらに、このボットネットの再登場に伴い、プロキシ・ネットワークの利用や WordPress サーバーの標的化など、新たな機能も追加されている。

感染経路は、SSH 経由で伝播してマルウェア・ペイロードを投下し、C2 サーバーから受け取った指示を実行し、追加のマルウェア・バイナリを実行し、システム情報やファイルを収集してサーバーへと送り返す。

FritzFrog は、使用されている P2P プロトコルが、完全に独自のものであるという点で注目されている。初期のバージョンでは、ifconfig や nginx を装っていたが、最近のバージョンでは、apache2 や php-fpm という名前で活動を隠そうとしている。

このマルウェアに組み込まれた、その他の新しい特徴としては、自分自身をリモートサーバーにコピーするための Secure Copy Protocol (SCP) の使用や、送信される SSH 接続をマスクするための Tor プロキシ・チェーン、後続の攻撃のために WordPress サーバーを追跡するインフラ、Raspberry Pi デバイスなどのローエンドシステムへの感染を避けるブロックリスト・メカニズムなどがある。

研究者たちは、「ブロックリストに登録されている IP は、ロシアのものだ。複数のポートが開いており、パッチが適用されていない脆弱性が多数存在するため、ハニーポットである可能性がある。さらに、2つ目のエントリーは、オープンソースのボットネットのシンクホールを示している。この2つのエントリーは、オペレーターが検知/分析を回避しようとしていることを示唆している」と述べている。

また、SCP 機能が含まれていることが、このマルウェアの出自を知る、最初の手がかりになったかもしれない。Akamai は、Go で書かれたライブラリが、中国の上海市に所在するユーザーにより、GitHub で共有されていることを指摘した。また、このマルウェアと中国とを結びつける2つ目の情報として、暗号採掘に使用された新しいウォレットのアドレスの1つが、2021年9月に中国で運営者が逮捕された、Mozi ボットネット・キャンペーンの一部としても使用されていたことが挙げられている。研究者たちは、「これらの証拠から、断定はできないが、中国で活動しているアクター、または、中国人を装ったアクターとの関連性が考えられる」と結論付けている。

FritzFrog という分散型ボットネットが再登場とのことです。文中にもある Mozi に関しては、2021年8月20日に「Mozi IoT Botnet は Mirai の進化形:狙いはネットワーク・ゲートウェイ?」という記事がありました。その他のボットネットに関する記事としては、11月1日の「中国で発見された Pink ボットネット:160 万台のデバイスに感染していた」や、11月19日の「Emotet ボットネットの復活をお膳立てする Conti ランサムウェアの役割とは?」、12月9日の「Hikvision の脆弱性 CVE-2021-36260:Mirai ベースの Moobot ボットネットが狙っている」などが、気になっているところです。よろしければ、ボットネットで検索も、ご利用ください。

%d bloggers like this: