Fodcha Botnet IOC

botnet IOC

CNCERT и 360 Digital Security Technology Group Co., Ltd. совместно провели мониторинг и обнаружили новый DDoS-ботнет, который быстро распространяется в Интернете. Они назвали ботнет Fodcha из-за доменного имени C2 "folded.in", изначально используемого этим ботнетом, и алгоритма chacha, применяемого для шифрования сетевого трафика.

С 29 марта по 10 апреля 2022 года общее количество уникальных ботов (IP) Fodcha превысило 62 000, а ежедневные показатели колеблются около 10 000.

Fodcha распространяется в основном через уязвимости и слабые пароли Telnet/SSH.

Перечень основных уязвимостей

  • Android ADB Debug Server RCE
  • CVE-2021-22205
  • CVE-2021-35394
  • JAWS Webserver unauthenticated shell command execution
  • LILIN DVR RCE
  • TOTOLINK Routers Backdoor TOTOLINK
  • ZHONE Router Web RCE

Indicators of Compromise

IPv4

  • 139.177.195.192
  • 162.33.179.171
  • 206.188.197.104
  • 31.214.245.253

Domains

  • folded.in
  • fridgexperts.cc

URLs

  • http://139.177.195.192/bins/arm
  • http://139.177.195.192/bins/arm5
  • http://139.177.195.192/bins/arm7
  • http://139.177.195.192/bins/mips
  • http://139.177.195.192/bins/realtek.mips
  • http://139.177.195.192/blah
  • http://139.177.195.192/linnn
  • http://139.177.195.192/skidrt
  • http://139.177.195.192/z.sh
  • http://162.33.179.171/bins/arm
  • http://162.33.179.171/bins/arm7
  • http://162.33.179.171/bins/mpsl
  • http://162.33.179.171/bins/realtek.mips
  • http://162.33.179.171/bins/realtek.mpsl
  • http://162.33.179.171/blah
  • http://162.33.179.171/k.sh
  • http://162.33.179.171/linnn
  • http://162.33.179.171/z.sh
  • http://206.188.197.104/bins/arm7
  • http://206.188.197.104/bins/realtek.mips
  • http://206.188.197.104/skidrt
  • http://31.214.245.253/bins/arm
  • http://31.214.245.253/bins/arm7
  • http://31.214.245.253/bins/mips
  • http://31.214.245.253/bins/mpsl
  • http://31.214.245.253/bins/x86
  • http://31.214.245.253/k.sh
  • http://31.214.245.253/kk.sh

MD5

  • 0e3ff1a19fcd087138ec85d5dba59715
  • 1b637faa5e424966393928cd6df31849
  • 208e72261e10672caa60070c770644ba
  • 2251cf2ed00229c8804fc91868b3c1cb
  • 2a02e6502db381fa4d4aeb356633af73
  • 2ed0c36ebbeddb65015d01e6244a2846
  • 2fe2deeb66e1a08ea18dab520988d9e4
  • 37adb95cbe4875a9f072ff7f2ee4d4ae
  • 3fc8ae41752c7715f7550dabda0eb3ba
  • 40f53c47d360c1c773338ef5c42332f8
  • 4635112e2dfe5068a4fe1ebb1c5c8771
  • 525670acfd097fa0762262d9298c3b3b
  • 54e4334baa01289fa4ee966a806ef7f1
  • 5567bebd550f26f0a6df17b95507ca6d
  • 5bdb128072c02f52153eaeea6899a5b1
  • 6244e9da30a69997cf2e61d8391976d9
  • 65dd4b23518cba77caab3e8170af8001
  • 6788598e9c37d79fd02b7c570141ddcf
  • 760b2c21c40e33599b0a10cf0958cfd4
  • 792fdd3b9f0360b2bbee5864845c324c
  • 7a6ebf1567de7e432f09f53ad14d7bc5
  • 8ea56a9fa9b11b15443b369f49fa9719
  • 9413d6d7b875f071314e8acae2f7e390
  • 954879959743a7c63784d1204efc7ed3
  • 977b4f1a153e7943c4db6e5a3bf40345
  • 9defda7768d2d806b06775c5768428c4
  • 9dfa80650f974dffe2bda3ff8495b394
  • a996e86b511037713a1be09ee7af7490
  • b11d8e45f7888ce85a67f98ed7f2cd89
  • b1776a09d5490702c12d85ab6c6186cd
  • b774ad07f0384c61f96a7897e87f96c0
  • c99db0e8c3ecab4dd7f13f3946374720
  • c9cbf28561272c705c5a6b44897757ca
  • cbdb65e4765fbd7bcae93b393698724c
  • d9c240dbed6dfc584a20246e8a79bdae
  • e372e5ca89dbb7b5c1f9f58fe68a8fc7
  • ebf81131188e3454fe066380fa469d22
  • fe58b08ea78f3e6b1f59e5fe40447b11
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий