Le nouveau botnet Fodcha DDoS cible plus de 100 victimes chaque jour

Map botnet

Un botnet en croissance rapide prend au piège les routeurs, les DVR et les serveurs sur Internet pour cibler plus de 100 victimes chaque jour dans des attaques par déni de service distribué (DDoS).

Ce logiciel malveillant récemment découvert, nommé Fodcha par les chercheurs du laboratoire de recherche sur la sécurité du réseau de Qihoo 360 (360 Netlab), s’est propagé à plus de 62 000 appareils entre le 29 mars et le 10 avril.

Le nombre d’adresses IP uniques liées au botnet oscille également, 360 Netlab affirmant qu’il suit quotidiennement une armée de 10 000 robots Fodcha utilisant des adresses IP chinoises, la plupart d’entre eux utilisant les services de China Unicom (59,9 %) et China Telecom (39,4%).

« Sur la base des données directes de la communauté de sécurité avec laquelle nous avons travaillé, le nombre de bots en direct quotidiens est supérieur à 56 000 », a déclaré Netlab.

« L’infection mondiale semble assez importante car rien qu’en Chine, il y a plus de 10 000 robots actifs (IP) quotidiens et également plus de 100 victimes DDoS ciblées quotidiennement. »

Bots en direct quotidiens avec des adresses IP chinoises
Bots en direct quotidiens avec des adresses IP chinoises (Netlab)

Se propage via des exploits et des attaques par force brute

Le Fodcha infecte de nouveaux appareils à l’aide d’exploits conçus pour exploiter les vulnérabilités n-day de plusieurs appareils et d’un outil de craquage par force brute appelé Crazyfia.

La liste des appareils et services ciblés par le botnet Fodcha comprend, mais sans s’y limiter :

Les opérateurs Fodcha utilisent les résultats de l’analyse Crazyfia pour déployer la charge utile des logiciels malveillants après avoir réussi à accéder à des échantillons d’appareils vulnérables exposés à Internet sur les appareils vulnérables.

Comme 360 ​​Netlab l’a découvert, les échantillons de botnet ciblent les architectures MIPS, MPSL, ARM, x86 et autres CPU.

Depuis janvier 2022, le botnet utilise le plié[.]dans le domaine de la commande et du contrôle (C2) jusqu’au 19 mars, date à laquelle il est passé à fridgexperts[.]cc après que le fournisseur de cloud a supprimé le domaine C2 initial.

Commutateur de domaine Fodcha C2
Switch de domaine Fodcha C2 (Netlab)

« Le passage de la v1 à la v2 est dû au fait que les serveurs C2 correspondant à la version v1 ont été arrêtés par leur fournisseur de cloud, les opérateurs de Fodcha n’ont donc eu d’autre choix que de relancer la v2 et de mettre à jour C2 », ont conclu les chercheurs.

« Le nouveau C2 est mappé sur plus d’une douzaine d’adresses IP et est distribué dans plusieurs pays, dont les États-Unis, la Corée, le Japon et l’Inde, il implique davantage de fournisseurs de cloud tels qu’Amazon, DediPath, DigitalOcean, Linode et bien d’autres. »

Vous trouverez de plus amples informations sur le fonctionnement du botnet et les indicateurs de compromission à la fin de le rapport 360 Netlab.