FritzFrog Returns with Log4Shell and PwnKit, Spreading Malware Inside Your Network
2024/02/01 TheHackerNews — FritzFrog という P2P ボットネットを背後で操る脅威アクターが、Log4Shell の脆弱性を悪用することで、すでに侵害したネットワーク内で内部的に増殖する、新たな亜種が登場している。Akamai は、「この脆弱性は、可能な限り多くの脆弱な Java アプリケーションをターゲットとする、ブルートフォース攻撃を介して悪用される」と、The Hacker News と共有したレポートの中で述べている。
Akamai は、「2020年8月に Guardicore が初めて文書化した FritzFrog は、Golang ベースのマルウェアであり、脆弱な SSH 認証情報を持つインターネット接続サーバを、主要な標的としている。その活動は、2020年1月から始まっている」と述べている。
その後の FritzFrog は、医療/教育/行政などの部門を攻撃するように進化し、最近では、感染したホスト上に暗号通貨マイナーを展開する機能を向上させている。
その最新バージョンにおいて斬新なのは、脆弱性 Log4Shell (CVE-2021-44228) を二次感染ベクターとして使用し、一般にアクセス可能な脆弱な資産を標的とするのではなく、内部ホストを特定している点である。
Akamai は、「この脆弱性が発見された当初は、インターネットに面したアプリケーションにおける侵害のリスクが大きいため、それらを優先してパッチが適用された。対照的に、悪用の可能性が低い内部マシンは、しばしば軽視され、パッチ適用が放置されている」と指摘されている。
つまり、インターネットに面したアプリケーションにパッチが適用されたとしても、他のエンドポイントに侵入されると、パッチ未適用の内部システムが悪用され、マルウェアが増殖する可能性があるということだ。
FritzFrog の SSH ブルートフォース・コンポーネントも、被害者ごとに複数のシステム・ログを列挙することで、特定の SSH ターゲットを特定するよう改良されている。
Akamai は、「このマルウェアにおける、もう1つの注目すべき変更点は、脆弱性 PwnKit (CVE-2021-4034) を悪用し、ローカル権限の昇格を実現している点にある。FritzFrog は、その存在を隠したまま、検知を回避する戦術を採用し続けている。特に、ファイルのディスク上へのドロップを、可能な限り回避するよう、特別な注意を払っている」と付け加えている。
こうした機能は、BPFDoor や Commando Cat といった、他の Linux ベース・マルウェアでも使用されている共有メモリ・ロケーション “/dev/shm” および、メモリ常駐型ペイロードを実行するための “memfd_create” により実現されている。
先日に Akamai は、Hitron Systems の複数の DVR デバイス・モデルに影響を及ぼす、脆弱性 CVE-2024-22768 〜 CVE-2024-22772 および CVE-2024-23842 を、InfectedSlurs ボットネットが積極的に悪用し、分散型サービス妨害 (DDoS) 攻撃を仕掛けていることを報告している。今回の情報公開は、それに続くものとなる。
直近の Log4Shell に関する記事は、2023/12/10 の「Apache Log4j アプリの 30%以上が脆弱なライブラリを使用している – Veracode 調査」だったと思います。今日の記事で説明されている、内部システムへと向かう攻撃ベクターと、まだまだ除去しきれない脆弱なライブライの関係性が、かなり心配なところです。よろしければ、Log4j + Log4Shell で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.