Fodcha Botnet

Fodcha Botnet-Beschreibung

Ein neues Botnetz namens Fodcha wächst schnell, indem es anfällige Geräte in seine Bot-Armee integriert. Die Betreiber des Botnetzes haben damit täglich DDoS-Angriffe (Distributed Denial-of-Service) gegen mehr als hundert Opfer gestartet. Die Aktivitäten der Bedrohung wurden von den Forschern des Network Security Research Lab (360 Netlab) von Qihoo 360 identifiziert, und nach ihren Schätzungen hat sich Fodcha im Zeitraum zwischen dem 29. März und dem 10. April 2022 auf über 62.000 Geräte ausgebreitet.

Fodcha verlässt sich auf N-Day-Schwachstellen sowie Brute-Force-Taktiken, um seine Zielgeräte zu kompromittieren, zu denen Router, DVRs und Server gehören. Genauer gesagt, einige der Modelle, auf die das Botnetz abzielt, sind Realtek Jungle SDK, MVPower DVR, LILIN DVR, TOTOLINK, ZHONE-Router und andere. Die angestrebten Architekturen umfassen MIPS, MPSL, ARM, x86 und mehr. Für seine Brute-Force-Versuche verwendet Fodcha ein Cracking-Tool namens Crazyfia.

Es sei darauf hingewiesen, dass die Betreiber des Fodcha-Botnetzes gezwungen waren, ihre Command-and-Control-Server (C2, C&C) zu wechseln, nachdem ihr ursprünglicher Cloud-Anbieter sie heruntergefahren hatte. Die zweite Infrastruktur operiert aus der fridgexperts[.]cc und ist auf über 12 IPs abgebildet. Darüber hinaus wird es in mehreren Ländern auf der ganzen Welt vertrieben, darunter Korea, Japan, Indien und die USA. Um ein ähnliches Ergebnis wie bei der ersten Iteration zu vermeiden, verwenden die Bedrohungsakteure mehr Cloud-Anbieter wie Amazon, DigitalOCean, Linode, DediPath und andere.