Qihoo 360’tan araştırmacılar, her gün 100’den fazla saldırı başlatabilen yepyeni, devasa bir botnet keşfettiler.
Tehdit aktörü, Fodcha olarak bilinen kötü amaçlı yazılımlara sahip yönlendiriciler, DVR’ler ve sunucular gibi cihazları hedefliyor. Araştırmacılar, bir aydan kısa bir süre içinde tehdit aktörlerinin Fodcha kötü amaçlı yazılımıyla 62.000’den fazla cihaza bulaşmayı başardığını keşfettiler.
Her zaman, China Unicom (%59) ve China Telecom (%39) hizmetlerini kullanarak Dağıtılmış Hizmet Reddi (DDoS) saldırılarını başlatmak için yaklaşık 10.000 cihaz kullanılıyor.
Her gün yüzlerce kurbanı hedef alıyor
Araştırmacılar, “Birlikte çalıştığımız güvenlik topluluğundan gelen doğrudan verilere dayanarak, günlük canlı botların sayısı 56000’den fazla” dedi. “Küresel enfeksiyon oldukça büyük görünüyor, çünkü sadece Çin’de 10.000’den fazla günlük aktif bot (IP) var ve ayrıca günlük olarak 100’den fazla DDoS kurbanı hedefleniyor.”
Saldırganlar, uç noktaları tehlikeye atmak için Android ADB Hata Ayıklama Sunucusu RCE, Realtek Jungle SDK, TOTOLINK Yönlendiriciler, ZHONE Yönlendiriciler ve diğerleri dahil olmak üzere cihazlarda ve hizmetlerde n-günlük güvenlik açıklarını kötüye kullanan bir dizi açıktan yararlanıyor.
Ayrıca botnet, MIPS, MPSL, ARM, x86 ve diğer CPU mimarilerini hedefler.
Komut ve kontrol (C2) için kullanılan ilk etki alanı, katlanmış[.]Araştırmacılar ayrıca, 19 Mart’ta satıcı tarafından kapatıldığını söyledi. Bundan sonra, tehdit aktörleri buzdolabı uzmanlarına geçti[.]cc.
Araştırmacılar, “v1’den v2’ye geçiş, v1 sürümüne karşılık gelen C2 sunucularının bir bulut satıcısı tarafından kapatılmasından kaynaklanıyor, bu nedenle Fodcha’nın operatörlerinin v2’yi yeniden başlatmak ve C2’yi güncellemekten başka seçeneği yoktu” dedi.
“Yeni C2 bir düzineden fazla IP ile eşleştirildi ve ABD, Kore, Japonya ve Hindistan dahil olmak üzere birden fazla ülkeye dağıtıldı, Amazon, DediPath, DigitalOcean, Linode ve diğerleri gibi daha fazla bulut sağlayıcısını içeriyor.”
Aracılığıyla: BleeBilgisayar
