新版DDoS僵尸网络Fodcha攻击流量超过1Tbps

据360Netlab博客报道,2022年4月13日首次被360Netlab披露的DDoS僵尸网络Fodcha近日“重出江湖”,并推出了新的版本。

在新版本中,Fodcha的作者重新设计了通信协议,并开始使用xxtea和chacha20算法对敏感资源和网络通信进行加密,以躲避文件&流量层面的检测;同时引入了OpenNIC域名做为主选C2,ICANN域名做为后备C2的双C2方案。这种冗余机制,既能防止C2被接管,又有良好的健壮性,能够维持其主控网络的稳定。这些都让安全人员更难分析或破坏其基础设施。

但新版Fodcha最引人注目的新功能是:直接在攻击受害者网络的DDoS数据包中传递赎金要求。

依托背后团队强大的N-day漏洞整合能力,卷土重来的Focha与之前对比可谓有过之而无不及。根据360Netlab的观测,Fodcha再次发展成日活Bot节点数超过60K,C2域名绑定40+IP,可以轻松打出超过1Tbps流量的大规模僵尸网络。

就活跃程度而言,Fodcha日均攻击目标100+,累计攻击目标2万多,在10月11日到达了攻击的巅峰,单日“丧心病狂”的攻击了1396个目标。

已确认的Fodcha攻击的一些值得注意的例子包括:

  • 2022年6月7日至8日针对一家医疗机构的DDoS攻击。
  • 2022年9月针对一家公司的通信基础设施的DDoS攻击。
  • 2022年9月21日针对某知名云服务提供商的1Tbps DDoS攻击。

Fodcha的大部分目标位于中国和美国,但僵尸网络的影响范围已经遍及全球,在欧洲、澳大利亚、日本、俄罗斯、巴西和加拿大都有感染系统。

根据Netlab破译的DDoS数据包,Fodcha现在要求受害者支付10XMR(门罗币),价值约1500美元。

赎金要求嵌入僵尸网络DDoS数据包的“数据”部分,并警告除非付款,否则攻击将继续进行。

由于门罗币是一种隐私币,很难追踪。因此,由于防止洗钱或其他非法活动的法律要求,几乎所有美国加密货币交易所都已经将其下架。

因此,尽管勒索软件团伙通常要求XMR作为支付选项,但几乎所有公司都选择用比特币支付,Fodcha DDoS勒索攻击可能也面临类似的情况。

参考链接:

https://blog.netlab.360.com/ddosmonster_the_return_of__fodcha_cn/

前一篇2022年流行的五个黑客硬件工具
后一篇微软数据泄露暴露全球111个国家超6.5万实体的客户个人信息