Hızla büyüyen bir botnet, dağıtılmış hizmet reddi (DDoS) saldırılarında her gün 100’den fazla kurbanı hedeflemek için İnternet genelinde yönlendiricileri, DVR’leri ve sunucuları tuzağa düşürüyor.
adlı bu yeni keşfedilen kötü amaçlı yazılım Kahretsin Qihoo 360’ın Ağ Güvenliği Araştırma Laboratuvarı’ndaki (360 Netlab) araştırmacılar tarafından, 29 Mart ile 10 Nisan arasında 62.000’den fazla cihaza yayıldı.
360 Netlab, her gün Çin IP adreslerini kullanan 10.000 kişilik bir Fodcha bot ordusunu izlediklerini ve bunların çoğu China Unicom’un hizmetlerini (% 59.9) kullandıklarını söyleyerek botnet’e bağlı benzersiz IP adreslerinin sayısı da dalgalanıyor. ve China Telecom (%39.4).
Netlab, “Birlikte çalıştığımız güvenlik topluluğundan gelen doğrudan verilere dayanarak, günlük canlı botların sayısı 56000’den fazladır.” Dedi.
“Küresel enfeksiyon oldukça büyük görünüyor, çünkü sadece Çin’de 10.000’den fazla günlük aktif bot (IP) var ve ayrıca günlük olarak 100’den fazla DDoS kurbanı hedefleniyor.”
Açıklardan yararlanma ve kaba kuvvet saldırıları yoluyla yayılır
Fodcha, birden fazla cihazdaki n-günlük güvenlik açıklarını kötüye kullanmak için tasarlanmış açıkları ve Crazyfia adlı bir kaba kuvvet kırma aracını kullanarak yeni cihazlara bulaşıyor.
Fodcha botnet tarafından hedeflenen cihazların ve hizmetlerin listesi bunlarla sınırlı olmamak üzere şunları içerir:
Fodcha operatörleri, savunmasız cihazlarda İnternet’e maruz kalan savunmasız cihaz örneklerine başarıyla erişim sağladıktan sonra kötü amaçlı yazılım yükünü dağıtmak için Crazyfia tarama sonuçlarını kullanır.
360 Netlab’ın daha da keşfettiği gibi, botnet örnekleri MIPS, MPSL, ARM, x86 ve diğer CPU mimarilerini hedefliyor.
Ocak 2022’den beri botnet katlanmış[.]19 Mart’a kadar komuta ve kontrol (C2) alanında, buzdolabı uzmanına geçiş yapıldığında[.]cc, bulut satıcısının ilk C2 etki alanını kaldırmasından sonra.
Araştırmacılar, “v1’den v2’ye geçiş, v1 sürümüne karşılık gelen C2 sunucularının bir bulut satıcısı tarafından kapatılmasından kaynaklanıyor, bu nedenle Fodcha’nın operatörlerinin v2’yi yeniden başlatmak ve C2’yi güncellemekten başka seçeneği yoktu.”
“Yeni C2 bir düzineden fazla IP ile eşleştirildi ve ABD, Kore, Japonya ve Hindistan dahil olmak üzere birden fazla ülkeye dağıtıldı, Amazon, DediPath, DigitalOcean, Linode ve diğerleri gibi daha fazla bulut sağlayıcısını içeriyor.”
Botnet’in nasıl çalıştığı ve uzlaşma göstergeleri hakkında daha fazla bilgiyi aşağıdaki bölümde bulabilirsiniz. 360 Netlab raporu.