นักวิจัย Qihoo 360 ค้นพบบ็อตเน็ตขนาดยักษ์ตัวใหม่ที่สามารถโจมตีได้มากกว่า 100 ครั้งต่อวัน
ผู้คุกคามมุ่งเป้าไปที่อุปกรณ์ต่างๆ เช่น เราเตอร์ DVR และเซิร์ฟเวอร์ที่มีมัลแวร์ที่เรียกว่า Fodcha ในเวลาน้อยกว่าหนึ่งเดือน นักวิจัยพบว่าผู้คุกคามสามารถแพร่ระบาดในอุปกรณ์กว่า 62,000 เครื่องด้วยมัลแวร์ Fodcha
ในช่วงเวลาใดก็ตาม อุปกรณ์ประมาณ 10 เครื่องถูกใช้เพื่อเริ่มการโจมตีแบบ Distributed Denial of Service (DDoS) โดยใช้บริการของ China Unicom (000%) และ China Telecom (59%)
กำหนดเป้าหมายเหยื่อหลายร้อยรายต่อวัน
“จากข้อมูลโดยตรงจากชุมชนความปลอดภัยที่เราร่วมงานด้วย จำนวนบอทที่ใช้งานอยู่รายวันเกินกว่า 56,000 ตัว” นักวิจัยกล่าว “การติดเชื้อทั่วโลกดูเหมือนจะค่อนข้างใหญ่ เนื่องจากในประเทศจีนเพียงประเทศเดียว มีบอท (IP) ที่ทำงานอยู่มากกว่า 10,000 ตัวต่อวัน และยังมีเหยื่อ DDoS มากกว่า 100 รายที่ถูกโจมตีทุกวัน”
ในการประนีประนอมอุปกรณ์ปลายทาง ผู้โจมตีใช้ช่องโหว่จำนวนหนึ่งที่ใช้ประโยชน์จากช่องโหว่ n-day ในอุปกรณ์และบริการ รวมถึง Android ADB Debug Server RCE, Realtek Jungle SDK, เราเตอร์ TOTOLINK, เราเตอร์ ZHONE และอื่นๆ
นอกจากนี้ บ็อตเน็ตยังกำหนดเป้าหมาย MIPS, MPSL, ARM, x86 และสถาปัตยกรรม CPU อื่นๆ
โดเมนเริ่มต้นที่ใช้สำหรับคำสั่งและการควบคุม (C2) หรือที่เรียกว่า en ถูกผู้ขายปิดตัวลงเมื่อวันที่ 19 มีนาคม นักวิจัยกล่าวเสริม หลังจากนั้น ผู้แสดงภัยคุกคามได้ย้ายไปยัง neveraxpertos.CC
“การเปลี่ยนแปลงจาก v1 เป็น v2 เกิดจากการที่ผู้ให้บริการคลาวด์ของพวกเขาหยุดเซิร์ฟเวอร์ C2 ที่สอดคล้องกับเวอร์ชัน v1 ดังนั้นผู้ให้บริการ Fodcha จึงไม่มีทางเลือกนอกจากเปิด v2 ใหม่และอัปเดต C2” นักวิจัยกล่าว
“C2 ใหม่ได้รับการกำหนดให้กับที่อยู่ IP มากกว่าหนึ่งโหล และจัดจำหน่ายในหลายประเทศ รวมถึงสหรัฐอเมริกา เกาหลี ญี่ปุ่น และอินเดีย ซึ่งเกี่ยวข้องกับผู้ให้บริการคลาวด์รายอื่นๆ เช่น Amazon, DediPath, DigitalOcean, Linode และอื่นๆ อีกมากมาย”
ผ่าน: BleepingComputer