Fodcha DDoS Botnet 1Tbps Güçlü Ve Saldırı 100+ Hedefe Sahip
Fodcha DDoS botnet, geçenlerde bir sürümle önemli bir geri dönüş yaptı. Fodcha botnet'inin bu güncellenmiş sürümü, 13 Nisan 2022'de 360Netlab tarafından ilk kez topluluğa açıklandı.
Botnet'in bu yenilenmiş sürümünde birkaç yepyeni özellik bulundu. Bu özellikler, paketlere enjekte edilen fidye taleplerinin yanı sıra altyapıyı algılamadan gizlemek için evasion araçlarını içerir.
Nisan 2022'den bu yana botnet'te sessizce bir dizi güncelleme ve gelişme yapıldı. Bu da tehdidin sürekli geliştiği ve her geçen gün daha tehlikeli bir tehdit haline geldiği anlamına geliyor.
Botnet'in en son sürümü olan Fodcha sürüm 4'te benzeri görülmemiş bir büyüme oldu. Şu anda, botnet'in arkasındaki ekip, Netlab tarafından sağlanan son rapordan sonra daha fazla soruşturmayı durdurmak için bazı önemli adımlar atıyor.
İletişim Protokolü
Yeni yayınlanan sürümde Fodcha ve kullanıcılar arasındaki iletişim için kullanılan protokolde değişiklikler yapıldı. Dosya ve trafik düzeyinde, algılamadan kaçmak amacıyla, bu botnet'in arkasındaki geliştiriciler hassas kaynakları ve ağ iletişimini şifrelemek için iki anahtar algoritma kullandılar.
Aşağıda, tehdit aktörleri tarafından şifreleme için kullanılan iki anahtar algoritmadan bahsettik:
Birincil seçenek C2 olarak, geliştiriciler "OpenNIC alan adını" sundular ve yedek C2 için çift C2 çözümü olarak "ICANN alan adını" sundular.
İnşa edilen 14 OpenNIC C2 var ve burada aşağıda bunlardan bahsettik:
- techsupporthelpars.oss
- yellowchinks.geek
- yellowchinks.dyn
- wearelegal.geek
- funnyyellowpeople.libre
- chinksdogeaters.dyn
- blackpeeps.dyn
- pepperfan.geek
- chinkchink.libre
- peepeepoo.libre
- respectkkk.geek
- bladderfull.indy
- tsengtsing.libre
- obamalover.pirate
Focha'nın geri dönüşü eskisinden bile daha iyi ve tüm krediler, arkasındaki ekip tarafından sağlanan N-Day güvenlik açığı yeteneklerinin güçlü entegrasyonuna ait.
Yeni Özellikler
Fodcha'nın yeni sürümü çok gelişti ve aşağıda bahsettiğimiz tonlarca yıkıcı yetenek sunuyor:
- Günlük 60K aktif bot nodes
- C2 alan adlarına bağlı 40'tan fazla IP
- 1Tbps'den fazla trafik oluşturma yeteneği
- Günlük saldırı hedefi 100+
- Kümülatif saldırı hedefi 20.000'in üzerindedir.
360Netlab raporuna göre, saldırıların en üst sınırda zirveye ulaştığı 11 Ekim'de tek bir günde toplam 1.396 hedef saldırıya uğradı. Fodcha'nın yazarı tarafından araştırmacıları kışkırtmak için "N3t1@bG@Y" kelimesini içeren taranmış bir senaryo kullanılmıştır.
Bu, siyah bir Netlab'ın az ya da çok itchy olduğu "NETLABGAY" olarak yorumlanır, çünkü çok bariz bir şekilde algılanabilir.
Zaman çizelgesi
Aşağıdaki bölümde, bazı örnek evrimler sergilediği gözlemlenen en önemli DDoS saldırı olaylarından bazılarını sunduk:
- Fodcha botnet'in ilk örneği 12 Ocak 2022'de yakalandı.
- Fodcha botnet'in yanı sıra V1 ve V2 sürümleri, 13 Nisan 2022'de ilk kez kamuya açıklandı.
- 19 Nisan 2022'de V2.x sürümü tanımlandı.
- 24 Nisan 2022'de V3 sürümü tanımlandı.
- 5 Haziran 2022'de V4 sürümü tanımlandı.
- 7 ve 8 Haziran 2022'de, Fodcha tarafından belirli bir ülkedeki bir sağlık kodu kuruluşuna saldırı düzenlendi.
- 7 Temmuz 2022'de V4.x sürümü tanımlandı.
- X Eylül 2022'de Fodcha, belirli bir ülkedeki bir kolluk kuvvetinin kanıt zincirini gözden geçirmesine yardımcı olma sürecinde DDoS ile bir şirketin ses işine saldırdı.
- 21 Eylül 2022'de, yakın tarihli bir saldırı soruşturması sırasında, tanınmış bir bulut servis sağlayıcısı, saldırıya uğradıklarını ve saldırıdaki trafiğin 1Tbps'yi aştığını iddia ettikleri için yardım için Netlab ile iletişime geçti. Soruşturma sonucunda Fodcha'nın saldırgan olduğu belirlendi.
Büyük DDoS Ölçeği
Bu botnet sürümü, fidye taleplerini DDoS paketleri aracılığıyla doğrudan kurban ağına iletmesi nedeniyle işlevselliğindeki en önemli iyileştirmeye sahiptir.
Fodcha'nın DDoS operasyonlarında, günlük olarak ortalama 100 kurbana saldırdığı Nisan ayından bu yana önemli bir geçiş oldu. Her gün, binden fazla hedef hedef hedef alınıyor, bu da önceki günlerin saldırılarına göre on kat önemli bir artış.
Fodcha'nın kullandığı IP kaynaklarıyla ilişkili önemli bir maliyet vardır. Fodcha'nın yazarı, yazar yalnızca DDoS saldırılarından iki kat veya daha fazla para kazanacağı için bu parayı harcamaya isteklidir.
Aşağıdaki resimde, Fodcha'nın mevcut saldırı eğilimlerini ve hedef alan dağılımını görebilirsiniz:
Çin ve Amerika Birleşik Devletleri'nin her ikisi de diğer ülkelerden daha sık saldırıya uğradıkları gerçeğine atfedilebilecek daha koyu renklere sahiptir.
Bununla birlikte, botnet'in etkisi zaten dünya çapında yayılıyor ve aşağıdaki ülkelerdeki sistemlere bulaşıyor:
- Avrupa
- Avustralya
- Japonya
- Rusya
- Brezilya
- Kanada
Fodcha'nın paralel yapılandırma organizasyon yöntemini, V2.X ve V3'ü kullanan iki sürümü vardır. Yapılandırma söz konusu olduğunda, hem V4 hem de V4.X'te yapılandırılmış Config organizasyon yöntemi kullanılır.
Config'in organizasyon yöntemlerinin tamamen farklı olduğunu, ancak şifreleme yönteminin benzer olduğunu belirtmek zorunludur.
Fidye Talepleri Ve Telekomünikasyon
Fodcha'nın ağ iletişiminin kod seviyesi söz konusu olduğunda, özellik çok sabittir. Fodcha'nın ağ iletişimi 4 ana adımı içerir ve aşağıdaki adımlar Fodcha'nın ağ iletişiminde yer alır:
- C2'nin şifresini çözme (decrypt C2)
- DNS sorgusu
- kurulan iletişim (erected communication)
- talimatı yürütme (execute instruction)
Fodcha, DDoS saldırıları başlatmak isteyen diğer tehdit aktörlerine kiralayarak para kazanıyor. Fodcha, kendi silahlarına sahip olmak yerine, ateş gücünü diğer tehdit aktörlerine kiralar, böylece para kazanabilir.
Dahası, saldırıların ilerlemesini durdurmak için Monero fidyesi talep edilen bu versiyonda gasp da yer almaktadır.
Netlab tarafından analiz edilen bir DDoS paketi, Fodcha'nın kurbanların saldırgana 10 XMR (Monero) ödemesini talep etmesine neden oldu; bu, kurbanlardan talep edilen XMR miktarına göre yaklaşık 1.500 dolara eşittir.
Tehdit aktörleri Monero'yu talep ediyor çünkü bu bir gizlilik parası, bu da işlemin çok daha kolay izlenemeyeceği anlamına geliyor. Sonuç olarak, XMR genellikle fidye yazılımı çeteleri ve diğer tehdit aktörleri tarafından bir ödeme yöntemi olarak talep edilir.
Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News