揭秘：Fodcha恶意软件在互联网上掀起的“狂风暴雨”

近日，在互联网上发现了一个快速传播的DDoS僵尸网络。由奇360Netlab的研究人员命名为“Fodcha”。

据估计，这种新发现的恶意软件每天有超过100人成为 DDoS攻击的目标，该恶意软件在互联网上掠夺内容如下：

· 路由器

· 硬盘录像机

· 服务器

而在3月29日至4月10日期间，Fodcha僵尸网络传播了超过62000台设备，仅在中国就有超过10000个每日活跃僵尸程序（IP），可见全球感染规模相当大。

由于最初使用C2域名folded[.]in并使用chacha算法对网络流量进行加密，因此该僵尸网络被称为Fodcha。

在这里，大多数Fodcha机器人主要使用两种中文服务：

· 联通 (59.9%)

· 电信 (39.4%)

传播方法

Fodcha使用在许多不同设备中利用n天漏洞的漏洞攻击新设备，并使用名为Crazyfia的蛮力破解工具来接管这些设备。

以下是Fodcha僵尸网络所针对的所有设备和服务：

· Android：Android ADB调试服务器RCE

·  GitLab：CVE-2021-22205

·  Realtek Jungle SDK：CVE-2021-35394

·  MVPower DVR：JAWS Webserver未经身份验证的shell命令执行

·  LILIN DVR：LILIN DVR RCE

·  TOTOLINK 路由器：TOTOLINK路由器后门

·  ZHONE 路由器：ZHONE路由器Web RCE

Fodcha的运营商利用Crazyfia的扫描结果将恶意软件有效负载部署给用户。在获得了易受攻击的互联网暴露消费设备样本的访问权限后，他们能够有效地使用它们来执行各种攻击。

已经确定攻击者针对多个CPU架构，我们在下面提到了关键架构：MIPS，MPSL，ARM，x86。

Fodcha样本可以分为两个不同的类别，它们的主要功能几乎相同。在下图中，您可以看到两个不同的类别及其插图：

在正在进行的操作中，Fodcha操作员会尽力隐藏他们的C2s、C2之间的负载均衡和解密密钥配置。

从2022年1月到2022年3月19日，Fodcha僵尸网络背后的威胁行为者在命令和控制 (C2) 域中使用了 fold[.]。

此外，为了确保其关键配置（例如C2数据）的安全性，Fodcha采用了多异或加密方法。

一旦解密完成，我们将获得Fodcha的C2：-fridgexperts.cc。

新的C2映射到十几个IP，分布在包括美国、韩国、日本和印度在内的多个国家，它涉及更多的云提供商，如 Amazon、DediPath、DigitalOcean、Linode 等。