Forscher von Qihoo 360 haben ein gigantisches neues Botnetz entdeckt, das mehr als 100 Angriffe pro Tag starten kann.
Der Bedrohungsakteur zielt mit Malware namens Fodcha auf Geräte wie Router, DVRs und Server ab. In weniger als einem Monat stellten die Forscher fest, dass es den Bedrohungsakteuren gelang, mehr als 62,000 Geräte mit der Fodcha-Malware zu infizieren.
Zu jedem Zeitpunkt werden etwa 10 Geräte für verteilte Denial-of-Service-Angriffe (DDoS) verwendet, wobei die Dienste von China Unicom (000 %) und China Telecom (59 %) genutzt werden.
Nehmen Sie täglich Hunderte von Opfern ins Visier
„Basierend auf direkten Daten der Sicherheitsgemeinschaft, mit der wir zusammenarbeiten, übersteigt die Zahl der täglichen Live-Bots 56,000“, sagten die Forscher. „Die globale Infektion scheint ziemlich groß zu sein, da allein in China täglich mehr als 10,000 aktive Bots (IPs) und täglich mehr als 100 DDoS-Opfer angegriffen werden.“
Um Endpunkte zu kompromittieren, nutzen Angreifer eine Reihe von Exploits, die N-Day-Schwachstellen in Geräten und Diensten ausnutzen, darunter Android ADB Debug Server RCE, Realtek Jungle SDK, TOTOLINK-Router, ZHONE-Router und andere.
Darüber hinaus zielt das Botnetz auf MIPS, MPSL, ARM, x86 und andere CPU-Architekturen ab.
Die ursprüngliche Domäne für Befehl und Kontrolle (C2) mit dem Namen en wurde am 19. März vom Verkäufer geschlossen, fügten die Forscher hinzu. Danach migrierten die Bedrohungsakteure zu Kühlschrankexperts.CC.
„Der Wechsel von v1 zu v2 ist auf die Tatsache zurückzuführen, dass ihr Cloud-Anbieter die C2-Server entsprechend Version v1 gestoppt hat, sodass Fodcha-Betreiber keine andere Wahl hatten, als v2 neu zu starten und C2 zu aktualisieren“, sagten die Forscher.
„Der neue C2 ist mehr als einem Dutzend IP-Adressen zugeordnet und wird in verschiedenen Ländern vertrieben, darunter den USA, Korea, Japan und Indien, wobei weitere Cloud-Anbieter wie Amazon, DediPath, DigitalOcean, Linode und viele mehr beteiligt sind.“
Via: BleepingComputer