Fodcha Botnet

Ett nytt botnät vid namn Fodcha växer snabbt genom att införliva sårbara enheter i sin armé av bots. Operatörerna av botnätet har använt det för att starta DDoS-attacker (Distributed Denial-of-Service) mot mer än hundra offer varje dag. Hotets aktiviteter identifierades av forskarna vid Qihoo 360:s Network Security Research Lab (360 Netlab) och enligt deras uppskattningar har Fodcha spridit sig till över 62 000 enheter för perioden mellan 29 mars och 10 april 2022.

Fodcha förlitar sig på N-dagars sårbarheter, såväl som brute-force-taktik för att äventyra sina riktade enheter, som inkluderar routrar, DVR:er och servrar. Mer specifikt är några av modellerna som botnätet riktar sig till Realtek Jungle SDK, MVPower DVR, LILIN DVR, TOTOLINK, ZHONE-routrar och andra. De riktade arkitekturerna inkluderar MIPS, MPSL, ARM, x86 och mer. För sina brute-force-försök använder Fodcha ett sprickverktyg känt som Crazyfia.

Det bör noteras att operatörerna av Fodcha-botnätet tvingades byta sina Command-and-Control-servrar (C2, C&C) efter att deras första molnleverantör tog ner dem. Den andra infrastrukturen fungerar utifrån fridgexperts[.]cc och är mappad till över 12 IP-adresser. Dessutom är den distribuerad mellan flera länder över hela världen, inklusive Korea, Japan, Indien och USA. För att undvika ett liknande resultat som den första iterationen använder hotaktörerna fler molnleverantörer som Amazon, DigitalOCean, Linode, DediPath med flera.