Fodcha Botnet

Fodcha Botnet Beschrijving

Een nieuw botnet genaamd Fodcha groeit snel, door kwetsbare apparaten op te nemen in zijn leger van bots. De operators van het botnet hebben het gebruikt om dagelijks DDoS-aanvallen (Distributed Denial-of-Service) uit te voeren tegen meer dan honderd slachtoffers. De activiteiten van de dreiging werden geïdentificeerd door de onderzoekers van Qihoo 360's Network Security Research Lab (360 Netlab) en volgens hun schattingen heeft Fodcha zich verspreid naar meer dan 62.000 apparaten voor de periode tussen 29 maart en 10 april 2022.

Fodcha vertrouwt op N-day-kwetsbaarheden, evenals brute-force-tactieken om zijn gerichte apparaten, waaronder routers, DVR's en servers, in gevaar te brengen. Meer specifiek zijn enkele van de modellen waarop het botnet is gericht Realtek Jungle SDK, MVPower DVR, LILIN DVR, TOTOLINK, ZHONE-routers en andere. De beoogde architecturen omvatten MIPS, MPSL, ARM, x86 en meer. Voor zijn brute krachtpogingen gebruikt Fodcha een kraaktool die bekend staat als Crazyfia.

Opgemerkt moet worden dat de operators van het Fodcha-botnet werden gedwongen om hun Command-and-Control (C2, C&C) -servers te wisselen nadat hun oorspronkelijke cloudleverancier ze had uitgeschakeld. De tweede infrastructuur werkt vanuit de koelkastexperts[.]cc en is toegewezen aan meer dan 12 IP's. Bovendien wordt het verspreid over verschillende landen over de hele wereld, waaronder Korea, Japan, India en de VS. Om een vergelijkbaar resultaat als de eerste iteratie te voorkomen, gebruiken de dreigingsactoren meer cloudproviders zoals Amazon, DigitalOCean, Linode, DediPath en meer.