近日,在互联 上发现了一个快速传播的DDoS僵尸 络。 由奇360Netlab的研究人员命名为“Fodcha”。
据估计,这种新发现的恶意软件每天有超过100人成为 DDoS攻击的目标,该恶意软件在互联 上掠夺内容如下:
· 路由器
· 硬盘录像机
· 服务器
而在3月29日至4月10日期间,Fodcha僵尸 络传播了超过62000台设备,仅在中国就有超过10000个每日活跃僵尸程序(IP),可见全球感染规模相当大。
由于最初使用C2域名folded[.]in并使用chacha算法对 络流量进行加密,因此该僵尸 络被称为Fodcha。
在这里,大多数Fodcha机器人主要使用两种中文服务:
· 联通 (59.9%)
· 电信 (39.4%)
传播方法
Fodcha使用在许多不同设备中利用n天漏洞的漏洞攻击新设备,并使用名为Crazyfia的蛮力破解工具来接管这些设备。
以下是Fodcha僵尸 络所针对的所有设备和服务:
·Android:Android ADB调试服务器RCE
· MVPower DVR:JAWS Webserver未经身份验证的shell命令执行
· LILIN DVR:LILIN DVR RCE
·TOTOLINK 路由器:TOTOLINK路由器后门
· ZHONE 路由器:ZHONE路由器Web RCE
Fodcha的运营商利用Crazyfia的扫描结果将恶意软件有效负载部署给用户。在获得了易受攻击的互联 暴露消费设备样本的访问权限后,他们能够有效地使用它们来执行各种攻击。
已经确定攻击者针对多个CPU架构,我们在下面提到了关键架构:MIPS,MPSL,ARM,x86。
Fodcha样本可以分为两个不同的类别,它们的主要功能几乎相同。在下图中,您可以看到两个不同的类别及其插图:
在正在进行的操作中,Fodcha操作员会尽力隐藏他们的C2s、C2之间的负载均衡和解密密钥配置。
从2022年1月到2022年3月19日,Fodcha僵尸 络背后的威胁行为者在命令和控制 (C2) 域中使用了 fold[.]。
此外,为了确保其关键配置(例如C2数据)的安全性,Fodcha采用了多异或加密方法。
一旦解密完成,我们将获得Fodcha的C2:-fridgexperts.cc。
新的C2映射到十几个IP,分布在包括美国、韩国、日本和印度在内的多个国家,它涉及更多的云提供商,如 Amazon、DediPath、DigitalOcean、Linode 等。
E周观察-安全威胁情 (2022.4.9~4.15)
2022.04.16
美国政府发布警告:高级黑客已严重威胁关键基础设施
202 2.04.15
2021年美国 络空间战略概览与分析
2022 .04.15
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!