Fodcha Botnet IOCs

botnet IOC

13 апреля 2022 года 360Netlab впервые раскрыл сообществу ботнет Fodcha. После публикации нашей статьи Fodcha подвергся репрессиям со стороны соответствующих органов, а его авторы быстро отреагировали, оставив в образце слова Netlab pls leave me alone I surrender to surrender to us.

В этой новой версии авторы Fodcha переработали протокол связи и начали использовать алгоритмы xxtea и chacha20 для шифрования конфиденциальных ресурсов и сетевых коммуникаций, чтобы избежать обнаружения на уровне файлов и трафика; они также ввели двойную схему C2 с доменом OpenNIC в качестве основного C2 и доменом ICANN в качестве резервного C2. Этот механизм резервирования не только предотвращает захват C2, но и обладает хорошей устойчивостью и может поддерживать стабильность главной сети.

Опираясь на сильные возможности интеграции уязвимостей N-day команды, стоящей за ним, возвращение Focha - это лучшее сравнение, чем когда-либо прежде. По нашим данным, с точки зрения масштаба, Fodcha снова превратилась в массивную бот-сеть с более чем 60K ежедневных активных бот-узлов и 40+ IP, привязанных к C2-доменам, которая может легко пропустить более 1Tbps трафика; с точки зрения активности, Fodcha имеет в среднем 100+ ежедневных целей атак и более 20 000 совокупных целей атак, достигнув пика своих атак 11 октября, причем за один день. "Он достиг своего пика 11 октября, когда за один день было атаковано 1 396 целей.

Вернувшись на вершину за очень короткое время, автор Fodcha, похоже, забыл принцип зарабатывания больших денег на молчании, и взял на себя труд снова "поиздеваться" над нами, используя в сценарии одного из сканов лепет N3t1@bG@Y, что переводится как "NETLABGAY". Он более чем немного "колючий".

Indicators of Compromise

IPv4

  • 107.181.160.172
  • 107.181.160.173
  • 13.229.98.186
  • 137.74.65.164
  • 138.68.10.149
  • 139.162.69.4
  • 139.99.142.215
  • 139.99.153.49
  • 139.99.166.217
  • 149.56.42.246
  • 15.204.128.25
  • 15.204.18.203
  • 15.204.18.232
  • 157.230.15.82
  • 159.223.39.133
  • 159.65.158.148
  • 165.227.19.36
  • 167.114.124.77
  • 170.187.187.99
  • 172.104.108.53
  • 172.105.55.131
  • 172.105.59.204
  • 176.97.210.176
  • 178.62.204.81
  • 18.136.209.2
  • 18.185.188.32
  • 185.117.73.109
  • 185.117.73.115
  • 185.117.73.147
  • 185.117.73.52
  • 185.117.75.119
  • 185.117.75.34
  • 185.117.75.45
  • 185.141.27.234
  • 185.141.27.238
  • 185.143.220.75
  • 185.143.221.129
  • 185.183.96.7
  • 185.183.98.205
  • 185.198.57.105
  • 185.198.57.95
  • 185.45.192.103
  • 185.45.192.124
  • 185.45.192.212
  • 185.45.192.227
  • 185.45.192.96
  • 192.46.225.170
  • 193.124.24.42
  • 193.203.12.123
  • 193.203.12.151
  • 193.203.12.154
  • 193.203.12.155
  • 193.203.12.156
  • 193.203.12.157
  • 193.233.253.220
  • 193.233.253.93
  • 194.147.86.22
  • 194.147.87.242
  • 194.156.224.102
  • 194.195.117.167
  • 194.53.108.159
  • 194.53.108.94
  • 194.87.197.3
  • 195.133.53.148
  • 195.133.53.157
  • 195.211.96.142
  • 207.154.199.110
  • 207.154.206.0
  • 23.183.83.171
  • 3.0.58.143
  • 3.121.234.237
  • 3.122.255.225
  • 3.65.206.229
  • 3.70.127.241
  • 45.135.135.33
  • 45.140.169.122
  • 45.147.200.168
  • 45.41.240.145
  • 45.61.139.116
  • 45.88.221.143
  • 46.17.41.79
  • 46.17.47.212
  • 51.161.98.214
  • 51.89.171.33
  • 51.89.176.228
  • 51.89.238.199
  • 51.89.239.122
  • 54.37.243.73
  • 67.207.84.82
  • 91.149.222.132
  • 91.149.222.133
  • 91.149.232.128
  • 91.149.232.129
  • 91.206.93.243

Domains

  • blackpeeps.dyn
  • bladderfull.indy
  • chinkchink.libre
  • chinksdogeaters.dyn
  • cookiemonsterboob.com
  • doodleching.com
  • folded.in
  • forwardchinks.com
  • fridgexperts.cc
  • funnyyellowpeople.libre
  • icarlyfanss.com
  • kvsolutions.ru
  • milfsfors3x.com
  • obamalover.pirate
  • peepeepoo.libre
  • pepperfan.geek
  • respectkkk.geek
  • techsupporthelpars.oss
  • tsengtsing.libre
  • wearelegal.geek
  • yellowchinks.dyn
  • yellowchinks.geek

MD5

  • 0f781868d4b9203569357b2dbc46ef10
  • 899047ddf6f62f07150837aef0c1ebfb
  • ea7945724837f019507fd613ba3e1da9
SEC-1275-1
Добавить комментарий