殭屍網路FritzFrog捲土重來鎖定醫療、教育、政府單位

殭屍網路FritzFrog首次發現於2020年8月，其具有許多特性，如採用無檔案技術並於記憶體中運作，因而無從追蹤。相較於其它只使用固定用戶名稱來滲透IP裝置之P2P殭屍網路，FritzFrog使用暴力破解技術，持續更新攻擊對象與被駭資料庫，以SSH公鑰之形式於受駭系統上植入後門，讓駭客能持續存取被駭系統。

資安業者Akamai指出，FriztFrog消失一段時間後，再次針對大型主機進行攻擊，先前FritzFrog攻擊與近期攻擊之主要區別為惡意程序(malicious process)名稱，第一輪攻擊為ifconfig或nginx，此次攻擊為apache2。

Akamai Threat Labs近1個月偵測到遭FriztFrog感染之電腦數量增加10倍，其中包括許多醫療單位、教育機構及政府部門之伺服器，目前已有1,500台伺服器遭感染，淪為駭客挖礦工具，並有37％位於中國。Akamai自2021年12月開始監測新變種，發現FritzFrog攻擊數量最高達到每日500件攻擊。

因FritzFrog使用之SCP函式庫作者均位於中國，再加上駭客所使用之錢包位址與另一個殭屍網路Mozi一致，而Mozi成員最近亦於中國被逮捕，因此Akamai Threat Labs推論FritzFrog可能來自中國或偽裝來自中國。

本文轉載自NCCST。