Fodcha 分散型サービス妨害ボットネットの背後にいる脅威アクターは、新しい機能で再出現しました。
これには、通信プロトコルの変更と、ターゲットに対する DDoS 攻撃を阻止する代わりに暗号通貨の支払いを要求する機能が含まれると、Qihoo 360 の Network Security Research Lab は先週発表されたレポートで述べています。
今年 4 月の初めに Fodcha が初めて明らかになり、マルウェアは Android や IoT デバイスの既知の脆弱性や脆弱な Telnet または SSH パスワードを介して拡散していました。このサイバーセキュリティ会社は、Fodcha が 60,000 を超えるアクティブなノードを持つ大規模なボットネットに進化したと述べました。 「1 Tbps を超えるトラフィックを簡単に生成」できる 40 のコマンド アンド コントロール (C2) ドメイン。
アクティビティのピークは 2022 年 10 月 11 日に発生したと言われています。マルウェアは 1 日で 1,396 台のデバイスを標的にしました。
2022 年 6 月下旬以降、ボットネットによって特定された上位の国には、中国、米国、シンガポール、日本、ロシア、ドイツ、フランス、英国、カナダ、オランダが含まれます。
顕著な標的の一部は、医療機関や法執行機関から有名なクラウド サービス プロバイダーにまで及びます。
「Fodcha は Mirai の攻撃コードを多く再利用しており、合計 17 の攻撃方法をサポートしています」とサイバーセキュリティ会社は述べています。
この調査結果は、DDoS 攻撃の規模を拡大するために Connectionless Lightweight Directory Access Protocol (CLDAP) の悪用が増加していることを指摘した Lumen Black Lotus Labs の新しい調査によるものです。
その目的のために、12,142 ものオープン CLDAP リフレクターが特定されており、そのほとんどは米国とブラジルに分布しており、ドイツ、インド、およびメキシコにもあまり分布していません。
ある例では、北米の名前のない地域の小売業に関連する CLDAP サービスが、9 か月以上にわたって「問題のある量のトラフィック」をさまざまなターゲットに向け、最大 7.8 Gbps の CLDAP トラフィックを放出していることが観察されています。