La botnet FritzFrog contraataca aprovechando una vulnerabilidad de Log4Shell
Ha aparecido una nueva variante de la sofisticada red de bots "FritzFrog", que aprovecha la vulnerabilidad Log4Shell para propagarse. A pesar de que han transcurrido más de dos años desde que se descubrió el fallo Log4j, los atacantes siguen explotándolo con eficacia debido a que muchas organizaciones descuidan parchear sus sistemas. En particular, la red de bots parece dirigirse a secciones aparentemente seguras de redes internas en las que pueden faltar parches.
Entendiendo la botnet FritzFrog
Identificado inicialmente por Guardicore (ahora parte de Akamai) en agosto de 2020, FritzFrog opera como una botnet peer-to-peer (P2P), dirigida principalmente a servidores orientados a Internet con credenciales SSH débiles. La vulnerabilidad Log4Shell (CVE-2021-44228), que obtuvo una amplia atención debido a su naturaleza crítica, ahora está siendo explotada por FritzFrog como un vector de infección secundario. A diferencia de sus estrategias anteriores, que se centraban en los servidores orientados a Internet, esta variante apunta a los hosts internos de las redes comprometidas. Este cambio subraya la importancia de las prácticas exhaustivas de gestión de parches, ya que incluso los sistemas internos aparentemente menos vulnerables pueden convertirse en objetivos principales de explotación.
Una de las mejoras destacables de esta variante es que identifica objetivos potenciales con vulnerabilidades dentro de la red mediante el análisis de los registros del sistema en los hosts comprometidos. Esto implica que, a pesar de parchear las aplicaciones orientadas a Internet, cualquier violación de otros endpoints puede dejar vulnerables a la explotación los sistemas internos sin parchear, facilitando la propagación del malware. Además, el malware aprovecha ahora la vulnerabilidad PwnKit (CVE-2021-4034) para la escalada local de privilegios, lo que aumenta aún más su persistencia y alcance.
Además, la red de bots FritzFrog emplea tácticas de evasión para eludir la detección, incluida la minimización de su huella evitando la descarga de archivos al disco siempre que sea posible. Al utilizar ubicaciones de memoria compartida y ejecutar cargas útiles residentes en memoria, mantiene una presencia sigilosa que plantea retos para los esfuerzos de detección y mitigación.
Conclusión
Akamai, empresa líder en infraestructura y seguridad web, ha bautizado esta última actividad como Frog4Shell, destacando la convergencia de las capacidades de FritzFrog con el exploit Log4Shell. Al explotar máquinas internas sin parches, FritzFrog aprovecha la tendencia a priorizar el parcheado de los servidores orientados a Internet, dejando los sistemas internos potencialmente expuestos y vulnerables.
A medida que la red de bots FritzFrog sigue evolucionando, las organizaciones de diversos sectores, como la sanidad, la educación y la administración pública, deben permanecer vigilantes y priorizar las medidas de ciberseguridad para frustrar eficazmente las amenazas emergentes.
Las fuentes de este artículo incluyen una historia de TheHackerNews.