상세 컨텐츠
본문
New Fodcha DDoS botnet targets over 100 victims every day
빠르게 성장하고 있는 봇넷이 DDoS 공격을 통해 매일 100명 이상의 피해자를 노리기 위해 인터넷을 통해 라우터, DVR, 서버를 공격하고 있는 것으로 나타났습니다.
Qihoo 360 Netlab의 연구원들이 새로 발견한 이 악성코드는 Fodcha로 명명되었으며, 3월 29일에서 4월 10일 사이 장치 62,000대 이상에 확산되었습니다.
봇넷에 연결된 고유한 IP 주소의 수도 변동되었습니다. 360 Netlab에 따르면, 이들은 매일 중국 IP 주소를 사용하는 기기 1만대로 이루어진 강력한 Fodcha 봇 군대를 추적하고 있으며, 대부분이 China Unicom (59.9%), China Telecom (39.4%) 서비스를 사용하고 있었습니다.
Netlab은 아래와 같이 밝혔습니다.
"함께 작업한 보안 커뮤니티의 데이터에 따르면, 일일 라이브 봇의 수는 56000대 이상입니다.”
"중국에서 10,000대 이상의 활성 봇(IP)과 100명 이상의 DDoS 피해자가 매일 발생하고 있습니다.”
<중국 IP 주소를 사용하는 일일 라이브 봇>
익스플로잇 및 브루트포싱 공격을 통해 확산돼
Fodcha는 여러 기기의 n-day 취약점을 악용하도록 설계된 익스플로잇과 Crazyfia라는 브루트포싱 크래킹 툴을 통해 새로운 장치를 감염시킵니다.
Fodcha 봇넷의 타깃이 되는 장치 및 서비스 목록에는 다음이 포함됩니다.
Android: Android ADB Debug Server RCE
GitLab: CVE-2021-22205
Realtek Jungle SDK: CVE-2021-35394
MVPower DVR: JAWS Webserver unauthenticated shell command execution
LILIN DVR: LILIN DVR RCE
TOTOLINK Routers: TOTOLINK Routers Backdoor
ZHONE Router: ZHONE Router Web RCE
Fodcha 운영자는 취약한 기기에서 취약한 인터넷 노출 장치 샘플에 성공적으로 접근한 후 Crazyfia 스캔 결과를 사용하여 악성코드 페이로드를 배포합니다.
360 Netlab에서 추가로 발견한 바와 같이, 이 봇넷 샘플은 MIPS, MPSL, ARM, x86 및 기타 CPU 아키텍처를 노렸습니다.
2022년 1월부터 봇넷은 클라우드 공급업체가 초기 C2 도메인을 중단한 후 fridgexperts[.]cc로 전환한 3월 19일 전까지 folded[.]in C2 도메인을 사용하고 있었습니다.
<Fodcha C2 도메인 스위치>
연구원들은 아래와 같이 설명했습니다.
"v1에서 v2로의 전환은 클라우드 공급업체가 v1 버전에 해당하는 C2 서버를 중단시켰기 때문이며, Fodcha의 운영자가 v2를 다시 시작하고 C2를 업데이트할 수 밖에 없었기 때문입니다.”
"새로운 C2는 12개 이상의 IP에 매핑되고 미국, 한국, 일본, 인도를 포함한 여러 국가에 배포되며 Amazon, DediPath, DigitalOcean, Linode 등 더 많은 클라우드 제공업체를 사용하고 있었습니다.”
해당 봇넷 작동 방식과 침해 지표에 대한 추가 정보는 360 Netlab 보고서의 끝부분에서 찾아볼 수 있습니다.
출처:
'국내외 보안동향' 카테고리의 다른 글
| 새로운 ZingoStealer 인포스틸러, 더 많은 악성코드와 크립토마이너 드롭해 (0) | 2022.04.15 |
|---|---|
| 1500만개의 엔드포인트에 영향을 주는 PCoIP 취약점 주의! (0) | 2022.04.14 |
| 윈도우 컴퓨터를 공격하는 중국의 Tarrask 악성코드 발견 (0) | 2022.04.14 |
| NGINX, LDAP 구현에 영향을 미치는 제로데이 취약점 완화법 공유 (0) | 2022.04.13 |
| 러시아와 연결된 Sandworm APT, 우크라이나 에너지 시설 공격해 (0) | 2022.04.13 |
댓글 영역