Uusi Fodcha-botnet hyökkää enemmän kuin 100 Uhrit päivittäin
Qihoo 360 (360 Netlab) asiantuntijat raportti uuden Fodcha-bottiverkon löytäminen, joka käynnistää DDoS-hyökkäyksiä satoja uhreja vastaan joka päivä. Esimerkiksi hyökkääjät voivat käyttää sitä koodin etäsuorittamiseen Spring Core -sovelluksissa, uhka kasvaa nopeasti ja sitä täydennetään uusilla roboteilla, mukaan lukien reitittimet, DRV:t ja haavoittuvat palvelimet.
Maaliskuusta alkaen 29 huhtikuuhun 10, the vittu botnet sisälsi enemmän kuin 62,000 laitteet. Haittaohjelmaan liittyvien yksilöllisten IP-osoitteiden määrä vaihtelee, asiantuntijoiden seurassa 10,000 Fodcha-botit käyttävät kiinalaisia IP-osoitteita joka päivä, useimmat heistä käyttävät palveluita Kiina Unicom (59.9%) ja China Telecom (39.4%).
Fodchan tiedetään saastuttavan uusia laitteita käyttämällä hyväksikäyttöjä, jotka on suunniteltu käyttämään useiden laitteiden haavoittuvuuksia, sekä Crazyfia raa'an voiman työkalu. Luettelo laitteista ja palveluista, joihin Fodcha-hyökkäykset sisältyvät:
- Android: Android ADB Debug Server RCE;
- GitLab: CVE-2021-22205;
- Realtek Jungle SDK: CVE-2021-35394;
- MVPPower DVR: shell-komentojen todentamaton suoritus JAWS-verkkopalvelin;
- KYNTTILÄ DVR: LILIN DVR RCE;
- TOTOLINK Reitittimet: takaovi sisään TOTOLINK reitittimet;
- ZHONE Reititin: Web RCE sisään ZHONE reitittimet.
Fodcha-operaattorit käyttävät Crazyfia-skannausten tuloksia päästäkseen haavoittuviin laitteisiin ja asentaakseen niihin haittaohjelmia.. Asiantuntijat kirjoittavat, että bottiverkko voi pystyä MIPS:ään, MPSL, ARM, x86 ja muut arkkitehtuurit.
Bottiverkon tiedetään käyttäneen taitettuna[.]komento- ja ohjauspalvelimen toimialueena tammikuusta lähtien 2022, ja vaihdoin jääkaapin asiantuntijoihin[.]cc maaliskuussa, kun pilvipalveluntarjoaja poisti ensimmäisen verkkotunnuksen.
Muistutan, että kirjoitimme myös sen Svchost.exe-asennuksen poisto. Viranomaiset häiritsevät Kyklooppi Blink -bottiverkko, ja tuo FritzFrog-botnet ja valtion virastot.
