Fodcha Botnet

Новий ботнет під назвою Fodcha швидко розвивається, включаючи вразливі пристрої до своєї армії ботів. Оператори ботнету використовували його для запуску DDoS-атак (Distributed Denial-of-Service) проти більш ніж сотні жертв щодня. Діяльність загрози виявили дослідники з дослідницької лабораторії мережевої безпеки Qihoo 360 (360 Netlab), і, за їхніми оцінками, Fodcha поширилася на понад 62 000 пристроїв за період з 29 березня по 10 квітня 2022 року.

Fodcha покладається на вразливості N-денів, а також на тактику грубої сили, щоб скомпрометувати свої цільові пристрої, які включають маршрутизатори, відеореєстратори та сервери. Точніше, деякі моделі, на які розрахований ботнет, - це Realtek Jungle SDK, MVPower DVR, LILIN DVR, TOTOLINK, ZHONE маршрутизатори та інші. Цільові архітектури включають MIPS, MPSL, ARM, x86 та інші. Для своїх спроб грубої сили Fodcha використовує інструмент для злому, відомий як Crazyfia.

Слід зазначити, що оператори бот-мережі Fodcha були змушені змінити свої сервери командування та керування (C2, C&C) після того, як їх початковий постачальник хмари зняв їх. Друга інфраструктура працює за допомогою fridgexperts[.]cc і зіставлена з понад 12 IP-адресами. Крім того, він поширюється в кількох країнах світу, включаючи Корею, Японію, Індію та США. Щоб уникнути подібного результату, як і в першій ітерації, суб’єкти загроз використовують більше хмарних провайдерів, таких як Amazon, DigitalOCean, Linode, DediPath тощо.