一个快速增长的僵尸网络正在通过互联网诱捕路由器、DVR 和服务器,每天针对 100 多名受害者进行分布式拒绝服务 (DDoS) 攻击。
这种新发现的恶意软件 被奇虎 360 网络安全研究实验室 (360 Netlab) 的研究人员命名为Fodcha ,在 3 月 29 日至 4 月 10 日期间已传播到超过 62,000 台设备。
链接到僵尸网络的唯一 IP 地址的数量也在波动,360 Netlab 表示他们每天都在跟踪使用中国 IP 地址的 10,000 强 Fodcha 僵尸大军,其中大多数使用中国联通的服务(59.9%)中国电信(39.4%)
“根据与我们合作的安全社区的直接数据,每天活机器人的数量超过 56000 个,”Netlab 说。
“全球感染看起来相当大,仅在中国就有超过 10,000 个每日活跃的机器人 (IP),并且每天有超过 100 名 DDoS 受害者成为目标。”
具有中国 IP 地址的每日直播机器人 (Netlab)
通过漏洞利用和暴力攻击传播
Fodcha 使用旨在滥用多个设备中的 n-day 漏洞的漏洞和称为 Crazyfia 的暴力破解工具来感染新设备。
Fodcha 僵尸网络针对的设备和服务列表包括但不限于:
Android: Android ADB 调试服务器 RCE
GitLab: CVE-2021-22205
Realtek Jungle SDK: CVE-2021-35394
MVPower DVR: JAWS Webserver 未经身份验证的 shell 命令执行
LILIN DVR: LILIN DVR RCE
TOTOLINK 路由器: TOTOLINK 路由器后门
ZHONE 路由器: ZHONE 路由器 Web RCE
Fodcha 运营商在成功访问易受攻击设备上的易受攻击 Internet 暴露设备样本后,使用 Crazyfia 扫描结果部署恶意软件负载。
正如 360 Netlab 进一步发现的那样,僵尸网络样本针对 MIPS、MPSL、ARM、x86 和其他 CPU 架构。
自 2022 年 1 月以来,僵尸网络一直在使用 folded[.]in 命令和控制 (C2) 域,直到 3 月 19 日,在云供应商取消初始 C2 域后,它切换到了frenchxperts[.]cc。
Fodcha C2 域交换机 (Netlab)
“从 v1 到 v2 的转变是由于与 v1 版本对应的 C2 服务器被他们的云供应商关闭,因此 Fodcha 的运营商别无选择,只能重新启动 v2 并更新 C2,”研究人员总结道。
“新的 C2 映射到十几个 IP,分布在包括美国、韩国、日本和印度在内的多个国家,它涉及更多的云提供商,如 Amazon、DediPath、DigitalOcean、Linode 等。”
推荐阅读
免费试用尝鲜
贴心会员服务
服务可用性
数据安全保障
全年不间断在线
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
