Fodcha Botnet

Nowy botnet o nazwie Fodcha szybko się rozwija, włączając wrażliwe urządzenia do swojej armii botów. Operatorzy botnetu wykorzystali go do przeprowadzania ataków DDoS (Distributed Denial-of-Service) na ponad sto ofiar każdego dnia. Działania zagrożenia zostały zidentyfikowane przez badaczy z laboratorium badań nad bezpieczeństwem sieci Qihoo 360 (360 Netlab) i według ich szacunków Fodcha rozprzestrzenił się na ponad 62 000 urządzeń w okresie od 29 marca do 10 kwietnia 2022 r.

Fodcha wykorzystuje luki w zabezpieczeniach N-day, a także taktyki brute-force, aby zhakować swoje docelowe urządzenia, w tym routery, rejestratory DVR i serwery. Mówiąc dokładniej, niektóre modele, na które skierowany jest botnet, to Realtek Jungle SDK, MVPower DVR, LILIN DVR, TOTOLINK, routery ZHONE i inne. Docelowe architektury obejmują MIPS, MPSL, ARM, x86 i inne. Do swoich brutalnych prób Fodcha wykorzystuje narzędzie do łamania zabezpieczeń znane jako Crazyfia.

Należy zauważyć, że operatorzy botnetu Fodcha zostali zmuszeni do zmiany swoich serwerów Command-and-Control (C2, C&C) po tym, jak ich pierwotny dostawca chmury usunął je. Druga infrastruktura działa z Fridgexperts[.]cc i jest zmapowana na ponad 12 adresów IP. Ponadto jest dystrybuowany w kilku krajach na całym świecie, w tym w Korei, Japonii, Indiach i Stanach Zjednoczonych. Aby uniknąć podobnego wyniku jak w pierwszej iteracji, cyberprzestępcy korzystają z większej liczby dostawców chmury, takich jak Amazon, DigitalOCean, Linode, DediPath i innych.