شبكة الروبوتات CatDDoS
أبلغ الباحثون الذين يقومون بتحليل شبكات الروبوتات DDoS الأكثر نشاطًا عن زيادة في عمليات الهجوم التي تقوم بها العصابات الإلكترونية ذات الصلة بـ CatDDoS. وفي سياق تحقيقاتهم، تمكن الخبراء من التأكد من أن مجرمي الإنترنت قد استغلوا أكثر من 80 نقطة ضعف لاختراق الأجهزة المستهدفة في غضون ثلاثة أشهر فقط. بالإضافة إلى ذلك، لوحظ أن الحد الأقصى لعدد الأهداف يتجاوز 300+ يوميًا. هدف المهاجمين هو التسلل إلى الأجهزة الضعيفة واختطافها لتصبح جزءًا من شبكة الروبوتات لتنفيذ هجمات رفض الخدمة الموزعة (DDoS).
جدول المحتويات
يستغل مجرمو الإنترنت العديد من الثغرات الأمنية لتوصيل شبكة CatDDoS Botnet
تؤثر هذه الثغرات الأمنية على مجموعة واسعة من الأجهزة بما في ذلك أجهزة التوجيه ومعدات الشبكات والأجهزة الأخرى التي يوفرها بائعون مختلفون مثل Apache (ActiveMQ وHadoop وLog4j وRocketMQ)، وCacti، وCisco، وD-Link، وDrayTek، وFreePBX، وGitLab، وGocloud، Huawei، Jenkins، Linksys، Metabase، NETGEAR، Realtek، Seagate، SonicWall، Tenda، TOTOLINK، TP-Link، ZTE، Zyxel وغيرها. أشار الباحثون إلى أن بعض الثغرات الأمنية لا تزال مجهولة، ومن المحتمل أن تكون ثغرات أمنية لمدة 0 يوم في ظل ظروف محددة.
يعتمد CatDDoS على شبكة Mirai Botnet سيئة السمعة
يعد CatDDoS في حد ذاته أحد أنواع Mirai منذ بدايته. تستمد اسمها من إدراج "cat" و"meow" في أسماء النطاقات والعينات المبكرة، مما يشير إلى تقارب منشئها تجاه موضوعات القطط. ظهرت الإصدارات الأخيرة من CatDDoS في البداية في أغسطس 2023، وتظهر الحد الأدنى من التعديلات في طرق الاتصال مقارنة بالإصدارات السابقة.
هناك تكهنات بين الباحثين بأن CatDDoS ربما تم إغلاقه في أواخر العام الماضي. ومع ذلك، فقد تم بيع الكود المصدري للتهديد من قبل منشئيه أو تم تسريبه بشكل مستقل. ونتيجة لذلك، ظهرت نتيجة لذلك إصدارات جديدة مثل RebirthLTD وKomaru وCecilio Network وغيرها.
قامت العديد من مجموعات مجرمي الإنترنت بإنشاء متغيرات CatDDoS Botnet الخاصة بها
في حين أن مجموعات مختلفة قد تشرف على تكرارات مختلفة لشبكة CatDDoS Botnet، إلا أن هناك اختلافًا بسيطًا في بنية التعليمات البرمجية وبروتوكولات الاتصال وأنماط السلسلة ومنهجيات فك التشفير والجوانب الأخرى. وبالتالي، قام الباحثون بدمج هذه المتغيرات في مجموعة موحدة تُعرف باسم العصابات المرتبطة بـ CatDDoS.
من بين المتغيرات النشطة الأحدث v-2.0.4 (CatDDoS) وv-Rebirth (RebirthLTD)، وكلاهما يستخدم تشفير chacha20 لنقل البيانات، بمفاتيح وأحرف متطابقة. يكمن التناقض في استخدام الإصدار v-2.0.4 لمجال OpenNIC كاسم مجال القيادة والتحكم (C2). بينما استخدمت RebirthLTD في البداية كود Mirai الأصلي، فقد انتقلت لاحقًا إلى قاعدة بيانات CatDDoS وتخضع لتحديثات متكررة.
في جوهر الأمر، خضعت العينات المرتبطة بـ CatDDoS إلى الحد الأدنى من التعديلات مقارنة بالإصدارات السابقة. تم تنفيذ بعض التعديلات الطفيفة لتعزيز تعقيد الهندسة العكسية. ومن ثم، فإن الإجماع هو أنه على الرغم من وجود تغييرات، إلا أنها محدودة نسبيا.
مجموعة متنوعة من الأهداف التي تمت ملاحظتها في عمليات هجوم CatDDoS Botnet
اعتبارًا من أكتوبر 2023، كانت غالبية الأهداف التي ضربتها البرامج الضارة موجودة في الصين، تليها الولايات المتحدة واليابان وسنغافورة وفرنسا وكندا والمملكة المتحدة وبلغاريا وألمانيا وهولندا والهند.
ومنذ ذلك الحين، لاحظ الباحثون تحولًا في التركيز نحو دول مثل الولايات المتحدة، وفرنسا، وألمانيا، والبرازيل، والصين. وتغطي الأهداف مختلف الصناعات، بما في ذلك مقدمي الخدمات السحابية، والتعليم، والبحث العلمي، ونقل المعلومات، والإدارة العامة، والبناء.
والجدير بالذكر أنه بالإضافة إلى استخدام خوارزمية ChaCha20 لتشفير الاتصالات مع خادم C2، تستخدم البرامج الضارة مجال OpenNIC لـ C2، وهو تكتيك تم استخدامه سابقًا بواسطة شبكة روبوت DDoS أخرى قائمة على Mirai تُعرف باسم Fodcha. ومن المثير للاهتمام أن CatDDoS تشترك في نفس زوج المفاتيح/nonce لخوارزمية ChaCha20 مع ثلاث شبكات روبوتية أخرى لـ DDoS تسمى hailBot وVapeBot وWoodman.
