Fodcha Botnet IOCs - Part 3

botnet IOC

13 апреля 2022 года компания 360Netlab впервые раскрыла ботнет Fodcha. После публикации статьи Fodcha подверглась репрессиям со стороны соответствующих органов, и ее авторы быстро отреагировали на это, оставив "Netlab pls leave me alone I surrender" в обновленном образце. Неудивительно, что авторы Fodcha не перестали обновляться после мошеннической капитуляции, и вскоре была выпущена новая версия.

Fodcha Botnet

В новой версии авторы Fodcha переработали протокол связи и начали использовать алгоритмы xxtea и chacha20 для шифрования конфиденциальных ресурсов и сетевых коммуникаций, чтобы избежать обнаружения на уровне файлов и трафика; в то же время была принята схема двойного C2 с доменом OpenNIC в качестве основного C2 и доменом ICANN в качестве резервного C2.

Опираясь на сильные возможности интеграции уязвимостей N-day, возвращение Focha так же сильно, как и предыдущие. По нашим данным, с точки зрения масштаба, Fodcha снова превратилась в массивный ботнет с более чем 60 тыс. ежедневных активных ботов и 40+ C2 IP, мы также заметили, что она может легко запускать DDos-трафик более 1 Тбит/с; с точки зрения атак, Fodcha имеет в среднем 100+ ежедневных целей атак и более 20 000 накопленных атак, 11 октября Fodcha побила свой рекорд и атаковала 1 396 уникальных целей за один день.

Опираясь на системы BotMon, 360Netlab отслеживали развитие образца Fodcha и инструкции по DDoS-атакам, и ниже представлены развитие образца и некоторые важные события DDoS-атак, которые мы наблюдали. (Примечание: сам образец Fodcha не имеет специального флага, указывающего на его версию, это номер версии, который мы используем для целей отслеживания)

  • 12 января 2022 года был пойман первый образец ботнета Fodcha.
  • 13 апреля 2022 года, раскрытие ботнета Fodcha, содержащего версии V1, V2.
  • 19 апреля 2022 года, перехвачена версия V2.x, использующая стиль C2 TLDs от OpenNIC.
  • 24 апреля 2022 года, версия V3, использующая алгоритм xxtea для шифрования конфигурационной информации, добавляющая TLDs ICANN в стиле C2, добавляющая механизм анти-песочницы и анти-отладки.
  • 5 июня 2022 года, версия V4, использование структурированной конфигурационной информации, анти-песочница и анти-отладочный механизм были удалены.
  • 7 июля 2022 года, версия V4.x с дополнительным набором ICANN C2.
  • 21 сентября 2022 года известный поставщик облачных услуг подвергся атаке с трафиком, превышающим 1 Тбит/с.

В апреле 360Netlab  подтвердили, что количество глобальных ежедневных живых ботов Fodcha составляло около 60 000.

Существует положительная зависимость между размером ботнета и количеством C2 IP, и наиболее разумная точка зрения заключается в том, что "чем больше ботнет, тем больше C2 инфраструктуры ему требуется". В апреле было 10 C2 для управления 60 000 ботов; после этого 360Netlab наблюдали, что количество IP, соответствующих его C2-доменам, продолжало расти.

Одна из вероятных причин этого заключается в том, что их ботнет настолько велик, что им приходится вкладывать больше IP-ресурсов, чтобы иметь разумное соотношение между ботами и C2 для достижения балансировки нагрузки.

Fodcha Botnet IOCs

Indicators of Compromise

IPv4

  • 107.181.160.172
  • 107.181.160.173
  • 13.229.98.186
  • 137.74.65.164
  • 138.68.10.149
  • 139.162.69.4
  • 139.99.142.215
  • 139.99.153.49
  • 139.99.166.217
  • 149.56.42.246
  • 15.204.128.25
  • 15.204.18.203
  • 15.204.18.232
  • 157.230.15.82
  • 159.223.39.133
  • 159.65.158.148
  • 165.227.19.36
  • 167.114.124.77
  • 170.187.187.99
  • 172.104.108.53
  • 172.105.55.131
  • 172.105.59.204
  • 176.97.210.176
  • 178.62.204.81
  • 18.136.209.2
  • 18.185.188.32
  • 185.117.73.109
  • 185.117.73.115
  • 185.117.73.147
  • 185.117.73.52
  • 185.117.75.119
  • 185.117.75.34
  • 185.117.75.45
  • 185.141.27.234
  • 185.141.27.238
  • 185.143.220.75
  • 185.143.221.129
  • 185.183.96.7
  • 185.183.98.205
  • 185.198.57.105
  • 185.198.57.95
  • 185.45.192.103
  • 185.45.192.124
  • 185.45.192.212
  • 185.45.192.227
  • 185.45.192.96
  • 192.46.225.170
  • 193.124.24.42
  • 193.203.12.123
  • 193.203.12.151
  • 193.203.12.154
  • 193.203.12.155
  • 193.203.12.156
  • 193.203.12.157
  • 193.233.253.220
  • 193.233.253.93
  • 194.147.86.22
  • 194.147.87.242
  • 194.156.224.102
  • 194.195.117.167
  • 194.53.108.159
  • 194.53.108.94
  • 194.87.197.3
  • 195.133.53.148
  • 195.133.53.157
  • 195.211.96.142
  • 207.154.199.110
  • 207.154.206.0
  • 23.183.83.171
  • 3.0.58.143
  • 3.121.234.237
  • 3.122.255.225
  • 3.65.206.229
  • 3.70.127.241
  • 45.135.135.33
  • 45.140.169.122
  • 45.147.200.168
  • 45.41.240.145
  • 45.61.139.116
  • 45.88.221.143
  • 46.17.41.79
  • 46.17.47.212
  • 51.161.98.214
  • 51.89.171.33
  • 51.89.176.228
  • 51.89.238.199
  • 51.89.239.122
  • 54.37.243.73
  • 67.207.84.82
  • 91.149.222.132
  • 91.149.222.133
  • 91.149.232.128
  • 91.149.232.129
  • 91.206.93.243

Domains

  • cookiemonsterboob.com
  • doodleching.com
  • folded.in
  • forwardchinks.com
  • fridgexperts.cc
  • icarlyfanss.com
  • kvsolutions.ru
  • milfsfors3x.com

MD5

  • 0f781868d4b9203569357b2dbc46ef10
  • 899047ddf6f62f07150837aef0c1ebfb
  • ea7945724837f019507fd613ba3e1da9
SEC-1275-1
Добавить комментарий