Guardicore ออกรายงานวิเคราะห์มัลแวร์ขุดเหมือง Monero ตัวใหม่ชื่อ FritzFrog โจมตี Linux ผ่าน SSH มีลักษณะเป็น worm และ botnet มุ่งเป้าหมายโจมตีหน่วยงานรัฐ ภาคการศึกษา และสถาบันการเงิน พบโจมตีตั้งแต่เดือนมกราคม 2020 ในขณะนี้มีเหยื่อติดเชื้อราวๆ 500 เซิร์ฟเวอร์และมีความพยายามโจมตี brute force กว่าล้านไอพี
FritzFrog เป็นมัลแวร์ที่มีความซับซ้อน มีการสั่งงานกันผ่าน peer-to-peer (P2P) คือคุยกันระหว่าง FritzFrog แต่ละตัวโดยไม่มีต้องมี Command & Control (C&C) ที่เป็นศูนย์กลางรวมถึงมีการรัน payload ในเมมโมรี่ ทำให้ยากต่อการตรวจจับ
เมื่อ FritzFrog ยึดเครื่องผ่าน SSH สำเร็จ มันจะลบตัวเองทิ้ง และรันด้วยโปรเสส ชื่อ ifconfig และ nginx จากนั้นมันจะรอคำสั่งต่อไปผ่าน port 1234 ซึ่งตามปกติแล้ว port 1234 มีความผิดปกติและตรวจจับได้ง่าย แต่ FritzFrog ใช้วิธีเพิ่ม SSH authorized_keys เพื่อให้ผู้โจมตีส่งคำสั่งผ่าน SSH แล้วเปิด netcat client บนเครื่องของเหยื่อเพื่อส่งคำสั่งจาก SSH ไปยัง port 1234 ทำให้ตรวจจับไม่ได้จากไฟร์วอลโดยตรงว่ามีการส่งคำสั่งมาจากเน็ตเวิร์คผ่าน port 1234 นอกจากนี้ยังมีการรันโปรเสสชื่อ libexec เพื่อขุดเหมือง Monero
Guardicore ระบุวิธีตรวจจับ FritzFrog ไว้ดังต่อไปนี้
1 ใช้สคริป detect_fritzfrog.