Fodcha Botnet

Et nyt botnet ved navn Fodcha vokser hurtigt ved at inkorporere sårbare enheder i sin hær af bots. Operatørerne af botnettet har brugt det til at lancere DDoS-angreb (Distributed Denial-of-Service) mod mere end hundrede ofre hver dag. Truslens aktiviteter blev identificeret af forskerne ved Qihoo 360's Network Security Research Lab (360 Netlab), og ifølge deres skøn har Fodcha spredt sig til over 62.000 enheder i perioden mellem 29. marts og 10. april 2022.

Fodcha er afhængig af N-dages sårbarheder, såvel som brute-force taktikker for at kompromittere sine målrettede enheder, som inkluderer routere, DVR'er og servere. Mere specifikt er nogle af de modeller, som botnettet er rettet mod, Realtek Jungle SDK, MVPower DVR, LILIN DVR, TOTOLINK, ZHONE-routere og andre. De målrettede arkitekturer inkluderer MIPS, MPSL, ARM, x86 og mere. Til sine brute-force-forsøg bruger Fodcha et cracking-værktøj kendt som Crazyfia.

Det skal bemærkes, at operatørerne af Fodcha-botnettet blev tvunget til at skifte deres Command-and-Control (C2, C&C)-servere, efter at deres oprindelige cloud-leverandør fjernede dem. Den anden infrastruktur opererer ud af fridgexperts[.]cc og er kortlagt til over 12 IP'er. Desuden er det fordelt mellem flere lande over hele verden, herunder Korea, Japan, Indien og USA. For at undgå et lignende resultat som den første iteration, bruger trusselsaktørerne flere cloud-udbydere som Amazon, DigitalOCean, Linode, DediPath og flere.