13 апреля 2022 года компания 360Netlab впервые раскрыла ботнет Fodcha. После публикации статьи Fodcha подверглась репрессиям со стороны соответствующих органов, и ее авторы быстро отреагировали на это, оставив "Netlab pls leave me alone I surrender" в обновленном образце. Неудивительно, что авторы Fodcha не перестали обновляться после мошеннической капитуляции, и вскоре была выпущена новая версия.
Fodcha Botnet
В новой версии авторы Fodcha переработали протокол связи и начали использовать алгоритмы xxtea и chacha20 для шифрования конфиденциальных ресурсов и сетевых коммуникаций, чтобы избежать обнаружения на уровне файлов и трафика; в то же время была принята схема двойного C2 с доменом OpenNIC в качестве основного C2 и доменом ICANN в качестве резервного C2.
Опираясь на сильные возможности интеграции уязвимостей N-day, возвращение Focha так же сильно, как и предыдущие. По нашим данным, с точки зрения масштаба, Fodcha снова превратилась в массивный ботнет с более чем 60 тыс. ежедневных активных ботов и 40+ C2 IP, мы также заметили, что она может легко запускать DDos-трафик более 1 Тбит/с; с точки зрения атак, Fodcha имеет в среднем 100+ ежедневных целей атак и более 20 000 накопленных атак, 11 октября Fodcha побила свой рекорд и атаковала 1 396 уникальных целей за один день.
Опираясь на системы BotMon, 360Netlab отслеживали развитие образца Fodcha и инструкции по DDoS-атакам, и ниже представлены развитие образца и некоторые важные события DDoS-атак, которые мы наблюдали. (Примечание: сам образец Fodcha не имеет специального флага, указывающего на его версию, это номер версии, который мы используем для целей отслеживания)
- 12 января 2022 года был пойман первый образец ботнета Fodcha.
- 13 апреля 2022 года, раскрытие ботнета Fodcha, содержащего версии V1, V2.
- 19 апреля 2022 года, перехвачена версия V2.x, использующая стиль C2 TLDs от OpenNIC.
- 24 апреля 2022 года, версия V3, использующая алгоритм xxtea для шифрования конфигурационной информации, добавляющая TLDs ICANN в стиле C2, добавляющая механизм анти-песочницы и анти-отладки.
- 5 июня 2022 года, версия V4, использование структурированной конфигурационной информации, анти-песочница и анти-отладочный механизм были удалены.
- 7 июля 2022 года, версия V4.x с дополнительным набором ICANN C2.
- 21 сентября 2022 года известный поставщик облачных услуг подвергся атаке с трафиком, превышающим 1 Тбит/с.
В апреле 360Netlab подтвердили, что количество глобальных ежедневных живых ботов Fodcha составляло около 60 000.
Существует положительная зависимость между размером ботнета и количеством C2 IP, и наиболее разумная точка зрения заключается в том, что "чем больше ботнет, тем больше C2 инфраструктуры ему требуется". В апреле было 10 C2 для управления 60 000 ботов; после этого 360Netlab наблюдали, что количество IP, соответствующих его C2-доменам, продолжало расти.
Одна из вероятных причин этого заключается в том, что их ботнет настолько велик, что им приходится вкладывать больше IP-ресурсов, чтобы иметь разумное соотношение между ботами и C2 для достижения балансировки нагрузки.
Fodcha Botnet IOCs
Indicators of Compromise
IPv4
- 107.181.160.172
- 107.181.160.173
- 13.229.98.186
- 137.74.65.164
- 138.68.10.149
- 139.162.69.4
- 139.99.142.215
- 139.99.153.49
- 139.99.166.217
- 149.56.42.246
- 15.204.128.25
- 15.204.18.203
- 15.204.18.232
- 157.230.15.82
- 159.223.39.133
- 159.65.158.148
- 165.227.19.36
- 167.114.124.77
- 170.187.187.99
- 172.104.108.53
- 172.105.55.131
- 172.105.59.204
- 176.97.210.176
- 178.62.204.81
- 18.136.209.2
- 18.185.188.32
- 185.117.73.109
- 185.117.73.115
- 185.117.73.147
- 185.117.73.52
- 185.117.75.119
- 185.117.75.34
- 185.117.75.45
- 185.141.27.234
- 185.141.27.238
- 185.143.220.75
- 185.143.221.129
- 185.183.96.7
- 185.183.98.205
- 185.198.57.105
- 185.198.57.95
- 185.45.192.103
- 185.45.192.124
- 185.45.192.212
- 185.45.192.227
- 185.45.192.96
- 192.46.225.170
- 193.124.24.42
- 193.203.12.123
- 193.203.12.151
- 193.203.12.154
- 193.203.12.155
- 193.203.12.156
- 193.203.12.157
- 193.233.253.220
- 193.233.253.93
- 194.147.86.22
- 194.147.87.242
- 194.156.224.102
- 194.195.117.167
- 194.53.108.159
- 194.53.108.94
- 194.87.197.3
- 195.133.53.148
- 195.133.53.157
- 195.211.96.142
- 207.154.199.110
- 207.154.206.0
- 23.183.83.171
- 3.0.58.143
- 3.121.234.237
- 3.122.255.225
- 3.65.206.229
- 3.70.127.241
- 45.135.135.33
- 45.140.169.122
- 45.147.200.168
- 45.41.240.145
- 45.61.139.116
- 45.88.221.143
- 46.17.41.79
- 46.17.47.212
- 51.161.98.214
- 51.89.171.33
- 51.89.176.228
- 51.89.238.199
- 51.89.239.122
- 54.37.243.73
- 67.207.84.82
- 91.149.222.132
- 91.149.222.133
- 91.149.232.128
- 91.149.232.129
- 91.206.93.243
Domains
- cookiemonsterboob.com
- doodleching.com
- folded.in
- forwardchinks.com
- fridgexperts.cc
- icarlyfanss.com
- kvsolutions.ru
- milfsfors3x.com
MD5
- 0f781868d4b9203569357b2dbc46ef10
- 899047ddf6f62f07150837aef0c1ebfb
- ea7945724837f019507fd613ba3e1da9