Fodcha Botnet

Ένα νέο botnet με το όνομα Fodcha αναπτύσσεται με ταχείς ρυθμούς, ενσωματώνοντας ευάλωτες συσκευές στον στρατό των bot του. Οι χειριστές του botnet το έχουν χρησιμοποιήσει για να εξαπολύσουν επιθέσεις DDoS (Distributed Denial-of-Service) εναντίον περισσότερων από εκατό θυμάτων κάθε μέρα. Οι δραστηριότητες της απειλής εντοπίστηκαν από τους ερευνητές του Qihoo 360's Network Security Research Lab (360 Netlab) και, σύμφωνα με τις εκτιμήσεις τους, το Fodcha έχει εξαπλωθεί σε περισσότερες από 62.000 συσκευές για την περίοδο από τις 29 Μαρτίου έως τις 10 Απριλίου 2022.

Η Fodcha βασίζεται σε ευπάθειες της ημέρας N, καθώς και σε τακτικές ωμής βίας για να θέσει σε κίνδυνο τις στοχευμένες συσκευές της, οι οποίες περιλαμβάνουν δρομολογητές, DVR και διακομιστές. Πιο συγκεκριμένα, μερικά από τα μοντέλα στα οποία απευθύνεται το botnet είναι τα Realtek Jungle SDK, MVPower DVR, LILIN DVR, TOTOLINK, ZhONE routers και άλλα. Οι στοχευμένες αρχιτεκτονικές περιλαμβάνουν MIPS, MPSL, ARM, x86 και άλλα. Για τις προσπάθειές του με ωμή βία, το Fodcha χρησιμοποιεί ένα εργαλείο πυρόλυσης γνωστό ως Crazyfia.

Θα πρέπει να σημειωθεί ότι οι χειριστές του botnet Fodcha αναγκάστηκαν να αλλάξουν τους διακομιστές Command-and-Control (C2, C&C) αφού ο αρχικός τους προμηθευτής cloud τους κατέβασε. Η δεύτερη υποδομή λειτουργεί εκτός του fridgexperts[.]cc και αντιστοιχίζεται σε περισσότερες από 12 IP. Επιπλέον, διανέμεται σε πολλές χώρες σε όλο τον κόσμο, συμπεριλαμβανομένων της Κορέας, της Ιαπωνίας, της Ινδίας και των ΗΠΑ. Για να αποφευχθεί ένα παρόμοιο αποτέλεσμα με την πρώτη επανάληψη, οι φορείς απειλών χρησιμοποιούν περισσότερους παρόχους cloud, όπως το Amazon, το DigitalOCean, το Linode, το DediPath και άλλα.