FritzFrog P2P僵尸网络攻击医疗、教育和政府部门

一年多后，一个点对点的Golang僵尸网络重新浮出水面，在一个月的时间内危害了医疗、教育和政府部门实体的服务器，总共感染了1500台主机。

配音弗里茨弗洛格Akamai研究人员在与《黑客新闻》分享的一份报告中说，“分散式僵尸网络的目标是任何暴露SSH服务器、云实例、数据中心服务器、路由器等的设备，并且能够在受感染的节点上运行任何恶意负载。”。

新的攻击浪潮在2021年12月初开始，只是在一个月内加快步伐，并在感染率上登记了10倍的增长，而在2022年1月达到每天500起的高峰。这家网络安全公司表示，它在一家欧洲电视频道网络、一家俄罗斯医疗设备制造商和东亚多所大学中检测到受感染的机器。

Guardicore于2020年8月首次记录了FritzFrog，详细阐述了自当年1月以来僵尸网络攻击和感染横跨欧洲和美国的500多台服务器的能力。另一方面，大量新感染病例集中在中国。

"Fritzfrog relies on the ability to share files over the network, both to infect new machines and run malicious payloads, such as the Monero crypto miner," security researcher Ophir Harpaz observed in 2020.

僵尸网络的对等（P2P）体系结构使其具有弹性，因为分布式网络中的每台受损机器都可以充当指挥与控制（C2）服务器，而不是单一的集中式主机。此外，僵尸网络的重新出现伴随着其功能的新增加，包括使用代理网络和针对WordPress服务器。

感染链通过SSH传播，丢弃恶意软件负载，然后执行从C2服务器接收的指令，运行额外的恶意软件二进制文件，并收集系统信息和文件，然后再将它们过滤回服务器。

FritzFrog值得注意的是，所使用的P2P协议是完全专有的。虽然早期版本的恶意软件进程伪装成“ifconfig”和“nginx”，但最近的变种试图以“apache2”和“php fpm”的名义隐藏其活动

该恶意软件的其他新特征包括使用安全复制协议（SCP）将自身复制到远程服务器、Tor代理链接来屏蔽传出SSH连接、跟踪WordPress服务器进行后续攻击的基础设施，以及阻止感染低端系统（如Raspberry Pi设备）的封锁列表机制。

研究人员说：“封锁名单中的一个IP来自俄罗斯。它有多个开放端口和一长串未修补的漏洞，所以它可能是一个蜜罐。”。“此外，第二个入口指向一个开源僵尸网络漏洞。这两个入口表明运营商试图逃避检测和分析。”

SCP功能的加入可能也为恶意软件的起源提供了第一条线索。Akamai指出，该库是用Go编写的，位于中国上海的用户已在GitHub上共享。

第二条将恶意软件与中国联系起来的信息源于这样一个事实，即用于加密挖掘的一个新钱包地址也被用作Mozi僵尸网络活动的一部分，Mozi僵尸网络的运营商去年9月在中国被捕。

研究人员得出结论：“这些证据虽然不足以说明问题，但却让我们相信，与在中国运营的演员或伪装成中国人的演员可能存在关联。”。