Scoperta una sofisticata botnet FritzFrog che attacca server Linux

Una sofisticata campagna botnet chiamata FritzFrog è stata scoperta violando server SSH in tutto il mondo, almeno da gennaio 2020. Scritto in Golang , FritzFrog è sia un worm che una botnet che prende di mira i settori del governo, dell’istruzione e della finanza. Il malware assembla ed esegue il payload dannoso interamente in memoria, rendendolo volatile.

Inoltre, la sua implementazione P2P personalizzata significa che non esiste un singolo server Command & Control (C&C) che invia istruzioni a FritzFrog. È decentralizzato e autosufficiente. Nonostante le tattiche di forza bruta aggressive utilizzate da FritzFrog per violare i server SSH, è stranamente efficiente prendendo di mira una rete in modo uniforme.

Guardicore Labs ha tenuto sotto controllo FritzFrog negli ultimi mesi utilizzando la loro rete di honeypot. FritzFrog comunica anche su un canale crittografato con oltre 30 comandi (mostrati sotto). Il malware utilizza l’ algoritmo Diffie-Hellman per la sua funzionalità di scambio di chiavi segrete.

I comandi e le risposte sono semt come oggetti JSON serializzati. Considerando che, prima che i dati possano essere trasferiti tra i nodi, vengono crittografati simmetricamente utilizzando AES e ulteriormente codificati con base64.