近日,在互联网上发现了一个快速传播的DDoS僵尸网络。由奇360Netlab的研究人员命名为“Fodcha”。
据估计,这种新发现的恶意软件每天有超过100人成为 DDoS攻击的目标,该恶意软件在互联网上掠夺内容如下:
· 路由器
· 硬盘录像机
· 服务器
而在3月29日至4月10日期间,Fodcha僵尸网络传播了超过62000台设备,仅在中国就有超过10000个每日活跃僵尸程序(IP),可见全球感染规模相当大。
由于最初使用C2域名folded[.]in并使用chacha算法对网络流量进行加密,因此该僵尸网络被称为Fodcha。
在这里,大多数Fodcha机器人主要使用两种中文服务:
· 联通 (59.9%)
· 电信 (39.4%)
Fodcha使用在许多不同设备中利用n天漏洞的漏洞攻击新设备,并使用名为Crazyfia的蛮力破解工具来接管这些设备。
以下是Fodcha僵尸网络所针对的所有设备和服务:
· Android:Android ADB调试服务器RCE
· GitLab:CVE-2021-22205
· Realtek Jungle SDK:CVE-2021-35394
· MVPower DVR:JAWS Webserver未经身份验证的shell命令执行
· LILIN DVR:LILIN DVR RCE
· TOTOLINK 路由器:TOTOLINK路由器后门
· ZHONE 路由器:ZHONE路由器Web RCE
Fodcha的运营商利用Crazyfia的扫描结果将恶意软件有效负载部署给用户。在获得了易受攻击的互联网暴露消费设备样本的访问权限后,他们能够有效地使用它们来执行各种攻击。
已经确定攻击者针对多个CPU架构,我们在下面提到了关键架构:MIPS,MPSL,ARM,x86。
Fodcha样本可以分为两个不同的类别,它们的主要功能几乎相同。在下图中,您可以看到两个不同的类别及其插图:
在正在进行的操作中,Fodcha操作员会尽力隐藏他们的C2s、C2之间的负载均衡和解密密钥配置。
从2022年1月到2022年3月19日,Fodcha僵尸网络背后的威胁行为者在命令和控制 (C2) 域中使用了 fold[.]。
此外,为了确保其关键配置(例如C2数据)的安全性,Fodcha采用了多异或加密方法。
一旦解密完成,我们将获得Fodcha的C2:-fridgexperts.cc。
2022.04.16
2022.04.15
2022.04.15
注:本文由E安全编译报道,转载请注明来源。
原文始发于微信公众号(E安全):揭秘:Fodcha恶意软件在互联网上掀起的“狂风暴雨”
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论