Fodcha DDoS botnet, yepyeni bir sürümle önemli bir geri dönüş yaptı. Fodcha botnet’in bu güncellenmiş versiyonu, ilk kez 13 Nisan 2022’de 360Netlab tarafından topluluğa açıklandı.
Botnet’in bu yenilenmiş versiyonunda birçok yeni özellik bulundu. Bu özellikler, paketlere enjekte edilen fidye taleplerinin yanı sıra altyapıyı algılamadan gizlemek için kaçınma araçlarını içerir.
Nisan 2022’den bu yana botnet’te sessizce bir takım güncellemeler ve geliştirmeler yapıldı. Bu, tehdidin sürekli geliştiği ve her geçen gün daha tehlikeli hale geldiği anlamına geliyor.
Botnet’in en son sürümü olan Fodcha sürüm 4’te benzeri görülmemiş bir büyüme yaşandı. Şu anda, botnet’in arkasındaki ekip, Netlab tarafından sağlanan son raporun ardından daha fazla araştırmayı durdurmak için bazı önemli adımlar atıyor.
İletişim Protokolü
Yeni çıkan sürümde Fodcha ile kullanıcılar arasındaki iletişim için kullanılan protokolde değişiklikler yapılmıştır. Dosya ve trafik düzeyinde, bu botnet’in arkasındaki geliştiriciler, algılamadan kaçmak için hassas kaynakları ve ağ iletişimini şifrelemek için iki anahtar algoritma kullandı.
Aşağıda, tehdit aktörleri tarafından şifreleme için kullanılan iki anahtar algoritmadan bahsettik:-
Geliştiriciler birincil tercih C2 olarak “OpenNIC alan adını” sundular ve C2 yedeklemesi için ikili bir C2 çözümü olarak “ICANN alan adını” sundular.
İnşa edilmiş 14 OpenNIC C2 var ve burada aşağıda bunlardan bahsettik:-
- techsupporthelpars.oss
- Yellowchinks.geek
- sarıçinks.dyn
- Wearelegal.geek
- komiksarı insanlar.libre
- chinksdogeaters.dyn
- blackpeeps.dyn
- biber fanı.geek
- chinkchink.libre
- peepeeoo.free
- saygılarkkk.geek
- mesane dolusu.indy
- tsengtsing.libre
- obamalover.pirate
Focha’nın geri dönüşü eskisinden daha da iyi ve tüm övgüler, arkasındaki ekip tarafından sağlanan N-Day güvenlik açığı yeteneklerinin güçlü entegrasyonuna ait.
Yeni Yetenekler
Fodcha’nın yeni sürümü çok gelişti ve aşağıda bahsettiğimiz tonlarca yıkıcı yetenek sunuyor:-
- 60 bin günlük aktif bot düğümü
- C2 alan adlarına bağlı 40+ IP
- 1Tbps’den fazla trafik oluşturabilme
- Günlük saldırı hedefi 100+
- Kümülatif saldırı hedefi 20.000’in üzerinde.
360Netlab raporuna göre, saldırıların zirve yaptığı 11 Ekim’de tek bir günde toplam 1.396 hedef saldırıya uğradı. ” kelimesini içeren taranmış bir komut dosyası[email protected]@Y”, Fodcha’nın yazarı tarafından araştırmacıları kışkırtmak için kullanıldı.
Bu, siyah bir Netlab’ın çok bariz bir şekilde algılanabilir olduğu için az çok kaşındığı “NETLABGAY” olarak yorumlanır.
Zaman çizelgesi
Aşağıdaki bölümde, bazı örnek evrim sergilediği gözlemlenen en önemli DDoS saldırı olaylarından bazılarını sunduk:-
- Fodcha botnet’in ilk örneği 12 Ocak 2022’de ele geçirildi.
- Fodcha botnet’in yanı sıra V1 ve V2 sürümleri ilk kez 13 Nisan 2022’de kamuya açıklandı.
- 19 Nisan 2022’de V2.x sürümü belirlendi.
- 24 Nisan 2022’de V3 sürümü belirlendi.
- 5 Haziran 2022’de V4 sürümü belirlendi.
- 7 ve 8 Haziran 2022’de Fodcha tarafından belirli bir ülkedeki bir sağlık kodu organizasyonuna saldırı düzenlendi.
- 7 Temmuz 2022’de V4.x sürümü belirlendi.
- X Eylül 2022’de Fodcha, belirli bir ülkedeki bir kanun uygulayıcı kurumun kanıt zincirini gözden geçirmesine yardım etme sürecinde bir şirketin DDoS ile ses işine saldırdı.
- 21 Eylül 2022’de, yakın tarihli bir saldırı soruşturması sırasında, tanınmış bir bulut hizmeti sağlayıcısı, saldırıya uğradıklarını ve saldırı trafiğinin 1 Tbps’yi aştığını iddia ederek yardım için Netlab ile iletişime geçti. Soruşturma sonucunda saldırganın Fodcha olduğu belirlendi.
Büyük DDoS Ölçeği
Bu botnet sürümü, fidye taleplerini doğrudan DDoS paketleri aracılığıyla kurbanların ağına iletmesi bakımından işlevselliğindeki en önemli gelişmeye sahiptir.
Fodcha’nın günlük ortalama 100 kurbana saldırdığı Nisan ayından bu yana DDoS operasyonlarında önemli bir geçiş oldu. Her gün binden fazla hedef hedefleniyor, önceki her günün saldırılarından on kat önemli bir artış.
Fodcha’nın kullandığı IP kaynaklarıyla ilişkili önemli bir maliyet vardır. Fodcha’nın yazarı, yalnızca DDoS saldırılarından iki kat veya daha fazla para kazanacağı için bu parayı harcamaya heveslidir.
Aşağıdaki resimde, Fodcha’nın mevcut saldırı eğilimlerini ve hedef alan dağılımını görebilirsiniz:-
Çin ve Amerika Birleşik Devletleri’nin her ikisinin de daha koyu renkleri var, bu da diğer ülkelere göre daha sık saldırıya uğramalarına atfedilebilir.
Bununla birlikte, botnet’in etkisi şimdiden tüm dünyaya yayılıyor ve aşağıdaki ülkelerdeki sistemlere bulaşıyor:
- Avrupa
- Avustralya
- Japonya
- Rusya
- Brezilya
- Kanada
Fodcha’nın paralel yapılandırma organizasyon yöntemini, V2.X ve V3’ü kullanan iki sürümü vardır. Yapılandırma söz konusu olduğunda, hem V4 hem de V4.X’te yapılandırılmış Config organizasyon yöntemi kullanılır.
Config’in organizasyon yöntemlerinin tamamen farklı olduğunu, ancak şifreleme yönteminin benzer olduğunu unutmamak gerekir.
Fidye Talepleri ve Telekomünikasyon
Fodcha’nın ağ iletişiminin kod seviyesi söz konusu olduğunda, özellik çok sabittir. Fodcha’nın ağ iletişimi 4 ana adımı içerir ve aşağıdaki adımlar Fodcha’nın ağ iletişiminde yer alır: –
- C2’nin şifresini çöz
- DNS sorgusu
- kurulan iletişim
- talimatı yürütmek
Fodcha, ateş gücünü DDoS saldırıları başlatmak isteyen diğer tehdit aktörlerine kiralayarak para kazanıyor. Fodcha, kendi silahlarına sahip olmak yerine, para kazanabilmesi için ateş gücünü diğer tehdit aktörlerine kiralıyor.
Ayrıca saldırıların ilerlemesini engellemek için Monero fidyesinin talep edildiği bu versiyonda şantaj da yer alıyor.
Netlab tarafından analiz edilen bir DDoS paketi, Fodcha’nın kurbanlardan saldırgana 10 XMR (Monero) ödemesini talep etmesine yol açtı, bu da kurbanlardan talep edilen XMR miktarına bağlı olarak kabaca 1.500$’a eşit.
Tehdit aktörleri, Monero’yu bir gizlilik parası olduğu için talep ediyor, bu da işlemin çok daha kolay izlenememesi anlamına geliyor. Sonuç olarak, XMR, fidye yazılımı çeteleri ve diğer tehdit aktörleri tarafından yaygın olarak bir ödeme yöntemi olarak talep edilmektedir.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin