無檔案惡意程式FritzFrog以SSH公鑰形式在受害系統上建立後門，讓駭客能夠持續存取被駭系統

資安業者Guardicore Labs本周揭露了一個新型態的P2P殭屍網路FritzFrog，駭客撰寫了一個全新的惡意程式，企圖攻擊全球數百萬個裝置的IP位址，進而感染逾500臺SSH伺服器，利用它們替駭客開挖門羅幣（Monero）。
Guardicore Labs是在今年1月察覺FritzFrog的行動，這是一個以Golang撰寫的無檔案惡意程式，它以SSH公鑰的形式在受害系統上建立後門，以讓駭客能夠持續存取被駭系統，且這8個月以來，Guardicore Labs已發現20種不同的FritzFrog執行版本。
FritzFrog有許多特點，它採用無檔案技術，在記憶體中運作，因而無從追蹤。相較於其它只使用固定用戶名稱，來滲透IP裝置的P2P殭屍網路，FritzFrog使用了相對積極的暴力破解技術，它會持續更新攻擊對象與被駭機器的資料庫，而且使用了私有的P2P協定。
此外，FritzFrog相準了全球政府機構、教育機構、醫療中心、銀行與電信業者的數千萬個IP位址發動攻擊，而且成功地入侵了這些組織的逾500臺伺服器，受害者包括美國與歐洲的多所知名大學，還有一家鐵路公司。這些受害的伺服器藉由P2P協定相互聯繫及同步，就算有哪個節點遺失了，很快就會被其它節點遞補，以保持殭屍網路的資訊暢通。
FritzFrog不只儲存了被駭系統的登入憑證，也在系統上的授權金鑰檔案中新增了SSH-RSA公鑰，於是，即便組織變更了憑證的密碼，握有私鑰的駭客依舊可以繼續存取被駭系統。
駭客利用FritzFrog殭屍網路替他們挖掘門羅幣，不過，Guardicore Labs並未公布該惡意行動迄今的收益。
Guardicore Labs建議各大組織應該設定強密碼且使用公鑰認證，也呼籲受害系統記得從授權金鑰檔案中，移除FritzFrog所植入的公鑰。此外，將SSH曝露在外的IoT裝置則是FritzFrog主要的切入點，組織應變更相關裝置SSH傳輸埠，或是關閉SSH的存取能力。