13 апреля 2022 года 360Netlab впервые раскрыл сообществу ботнет Fodcha. После публикации нашей статьи Fodcha подвергся репрессиям со стороны соответствующих органов, а его авторы быстро отреагировали, оставив в образце слова Netlab pls leave me alone I surrender to surrender to us.
В этой новой версии авторы Fodcha переработали протокол связи и начали использовать алгоритмы xxtea и chacha20 для шифрования конфиденциальных ресурсов и сетевых коммуникаций, чтобы избежать обнаружения на уровне файлов и трафика; они также ввели двойную схему C2 с доменом OpenNIC в качестве основного C2 и доменом ICANN в качестве резервного C2. Этот механизм резервирования не только предотвращает захват C2, но и обладает хорошей устойчивостью и может поддерживать стабильность главной сети.
Опираясь на сильные возможности интеграции уязвимостей N-day команды, стоящей за ним, возвращение Focha - это лучшее сравнение, чем когда-либо прежде. По нашим данным, с точки зрения масштаба, Fodcha снова превратилась в массивную бот-сеть с более чем 60K ежедневных активных бот-узлов и 40+ IP, привязанных к C2-доменам, которая может легко пропустить более 1Tbps трафика; с точки зрения активности, Fodcha имеет в среднем 100+ ежедневных целей атак и более 20 000 совокупных целей атак, достигнув пика своих атак 11 октября, причем за один день. "Он достиг своего пика 11 октября, когда за один день было атаковано 1 396 целей.
Вернувшись на вершину за очень короткое время, автор Fodcha, похоже, забыл принцип зарабатывания больших денег на молчании, и взял на себя труд снова "поиздеваться" над нами, используя в сценарии одного из сканов лепет N3t1@bG@Y, что переводится как "NETLABGAY". Он более чем немного "колючий".
Indicators of Compromise
IPv4
- 107.181.160.172
- 107.181.160.173
- 13.229.98.186
- 137.74.65.164
- 138.68.10.149
- 139.162.69.4
- 139.99.142.215
- 139.99.153.49
- 139.99.166.217
- 149.56.42.246
- 15.204.128.25
- 15.204.18.203
- 15.204.18.232
- 157.230.15.82
- 159.223.39.133
- 159.65.158.148
- 165.227.19.36
- 167.114.124.77
- 170.187.187.99
- 172.104.108.53
- 172.105.55.131
- 172.105.59.204
- 176.97.210.176
- 178.62.204.81
- 18.136.209.2
- 18.185.188.32
- 185.117.73.109
- 185.117.73.115
- 185.117.73.147
- 185.117.73.52
- 185.117.75.119
- 185.117.75.34
- 185.117.75.45
- 185.141.27.234
- 185.141.27.238
- 185.143.220.75
- 185.143.221.129
- 185.183.96.7
- 185.183.98.205
- 185.198.57.105
- 185.198.57.95
- 185.45.192.103
- 185.45.192.124
- 185.45.192.212
- 185.45.192.227
- 185.45.192.96
- 192.46.225.170
- 193.124.24.42
- 193.203.12.123
- 193.203.12.151
- 193.203.12.154
- 193.203.12.155
- 193.203.12.156
- 193.203.12.157
- 193.233.253.220
- 193.233.253.93
- 194.147.86.22
- 194.147.87.242
- 194.156.224.102
- 194.195.117.167
- 194.53.108.159
- 194.53.108.94
- 194.87.197.3
- 195.133.53.148
- 195.133.53.157
- 195.211.96.142
- 207.154.199.110
- 207.154.206.0
- 23.183.83.171
- 3.0.58.143
- 3.121.234.237
- 3.122.255.225
- 3.65.206.229
- 3.70.127.241
- 45.135.135.33
- 45.140.169.122
- 45.147.200.168
- 45.41.240.145
- 45.61.139.116
- 45.88.221.143
- 46.17.41.79
- 46.17.47.212
- 51.161.98.214
- 51.89.171.33
- 51.89.176.228
- 51.89.238.199
- 51.89.239.122
- 54.37.243.73
- 67.207.84.82
- 91.149.222.132
- 91.149.222.133
- 91.149.232.128
- 91.149.232.129
- 91.206.93.243
Domains
- blackpeeps.dyn
- bladderfull.indy
- chinkchink.libre
- chinksdogeaters.dyn
- cookiemonsterboob.com
- doodleching.com
- folded.in
- forwardchinks.com
- fridgexperts.cc
- funnyyellowpeople.libre
- icarlyfanss.com
- kvsolutions.ru
- milfsfors3x.com
- obamalover.pirate
- peepeepoo.libre
- pepperfan.geek
- respectkkk.geek
- techsupporthelpars.oss
- tsengtsing.libre
- wearelegal.geek
- yellowchinks.dyn
- yellowchinks.geek
MD5
- 0f781868d4b9203569357b2dbc46ef10
- 899047ddf6f62f07150837aef0c1ebfb
- ea7945724837f019507fd613ba3e1da9