Ένα botnet που αναπτύσσεται ραγδαία παγιδεύει δρομολογητές, DVR και διακομιστές σε όλο το Διαδίκτυο, στοχεύοντας περισσότερα από 100 θύματα κάθε μέρα σε επιθέσεις κατανεμημένης άρνησης υπηρεσίας (DDoS).
Δείτε επίσης: Οι ΗΠΑ διακόπτουν την λειτουργία του botnet Cyclops Blink
Αυτό το κακόβουλο λογισμικό που ανακαλύφθηκε πρόσφατα, ονομάστηκε Fodcha από τους ερευνητές στο Εργαστήριο Ερευνών Ασφάλειας Δικτύων του Qihoo 360 (360 Netlab) και εξαπλώθηκε σε περισσότερες από 62.000 συσκευές μεταξύ 29 Μαρτίου και 10 Απριλίου.
Ο αριθμός των μοναδικών διευθύνσεων IP που συνδέονται με το botnet είναι ακαθόριστος, με την 360 Netlab να λένε ότι παρακολουθεί έναν «στρατό» από 10.000 Fodcha bots που χρησιμοποιούν κινεζικές διευθύνσεις IP κάθε μέρα, τα περισσότερα από τα οποία χρησιμοποιούν τις υπηρεσίες της China Unicom (59,9%) και China Telecom (39,4%).
«Η παγκόσμια μόλυνση φαίνεται αρκετά μεγάλη καθώς μόνο στην Κίνα υπάρχουν περισσότερα από 10.000 ενεργά bots (IP) καθημερινά και επίσης περισσότερα από 100 θύματα DDoS που στοχοποιούνται σε καθημερινή βάση».
Το Botnet Fodcha μολύνει νέες συσκευές χρησιμοποιώντας εκμεταλλεύσεις που έχουν σχεδιαστεί για κατάχρηση ευπάθειας n-day σε πολλές συσκευές και ένα εργαλείο πυρόλυσης brute-force που ονομάζεται Crazyfia.
Δείτε ακόμα: Το Qbot botnet χρησιμοποιεί νέες τεχνικές μόλυνσης
Η λίστα των συσκευών και των υπηρεσιών που στοχεύει το botnet Fodcha περιλαμβάνει:
- Android: Διακομιστής εντοπισμού σφαλμάτων Android ADB RCE
- GitLab: CVE-2021-22205
- Realtek Jungle SDK: CVE-2021-35394
- MVPower DVR: εκτέλεση εντολών φλοιού χωρίς έλεγχο ταυτότητας JAWS Webserver
- LILIN DVR: LILIN DVR RCE
- Δρομολογητές TOTOLINK: Backdoor δρομολογητών TOTOLINK
- Δρομολογητής ZHONE: Δρομολογητής ZHONE Web RCE
Οι χειριστές τοτ Botnet Fodcha χρησιμοποιούν τα αποτελέσματα σάρωσης του Crazyfia για την ανάπτυξη ωφέλιμου φορτίου κακόβουλου λογισμικού, αφού αποκτήσουν επιτυχώς πρόσβαση σε ευάλωτα δείγματα συσκευών που εκτίθενται στο Διαδίκτυο στις ευάλωτες συσκευές.
Όπως ανακάλυψε περαιτέρω η 360 Netlab, τα δείγματα botnet στοχεύουν MIPS, MPSL, ARM, x86 και άλλες αρχιτεκτονικές CPU.
Δείτε επίσης: Log4Shell exploits χρησιμοποιούνται για DDoS botnets και εγκατάσταση cryptominers
Από τον Ιανουάριο του 2022, το botnet χρησιμοποιούσε τον τομέα folded[.]in command-and-control (C2) έως τις 19 Μαρτίου, όταν άλλαξε σε fridgexperts[.]cc μετά την κατάργηση του αρχικού τομέα C2 από τον προμηθευτή cloud.
Μπορείτε να βρείτε περισσότερες πληροφορίες σχετικά με τον τρόπο λειτουργίας του botnet και τους δείκτες παραβίασης στο τέλος της αναφοράς της 360 Netlab.
