CatDDoS ботнет
Изследователи, анализиращи по-активните масови DDoS ботнети, съобщават за скок в атаката на свързаните с CatDDoS киберг банди. В хода на своето разследване експертите успяха да потвърдят, че киберпрестъпниците са използвали над 80 уязвимости, за да компрометират целеви устройства само в рамките на три месеца. Освен това е наблюдавано, че максималният брой цели надхвърля 300+ на ден. Целта на нападателите е да проникнат в уязвимите устройства и да ги отвлекат, за да станат част от ботнет за извършване на разпределени атаки за отказ на услуга (DDoS).
Съдържание
Киберпрестъпниците злоупотребяват с множество уязвимости, за да доставят CatDDoS ботнета
Тези уязвимости засягат широка гама от устройства, включително рутери, мрежово оборудване и друг хардуер, доставен от различни доставчици като Apache (ActiveMQ, Hadoop, Log4j и RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel и др. Изследователите посочиха, че определени уязвимости остават неидентифицирани, като вероятно са уязвимости от 0 дни при определени условия.
CatDDoS е базиран на скандалния ботнет Mirai
CatDDoS сам по себе си е вариант на Mirai от самото му създаване. Той получава името си от включването на „котка“ и „мяу“ в ранните имена на домейни и образци, което показва афинитет към котешки теми от неговия създател. Първоначално появили се през август 2023 г., последните повторения на CatDDoS показват минимални промени в комуникационните методи в сравнение с по-ранните му версии.
Има спекулации сред изследователите, че CatDDoS може да е бил спрян в края на миналата година. Въпреки това, изходният код на заплахата или е продаден от създателите си, или е изтекъл независимо. В резултат на това се появиха нови итерации като RebirthLTD, Komaru, Cecilio Network и др.
Няколко киберпрестъпни групи създадоха свои собствени варианти на CatDDoS ботнет
Въпреки че различни групи могат да наблюдават различни итерации на CatDDoS Botnet, има минимални различия в структурата на кода, комуникационните протоколи, моделите на низове, методологиите за дешифриране и други аспекти. Следователно изследователите са консолидирали тези варианти в обединен клъстер, известен като банди, свързани с CatDDoS.
Сред по-новите активни варианти са v-2.0.4 (CatDDoS) и v-Rebirth (RebirthLTD), като и двата използват chacha20 криптиране за предаване на данни, с идентични ключове и nonces. Несъответствието се крие в използването на v-2.0.4 на домейна OpenNIC като име на домейн за командване и управление (C2). Докато RebirthLTD първоначално използва оригиналния код на Mirai, по-късно той премина към кодовата база на CatDDoS и е подложен на чести актуализации.
По същество пробите, свързани с CatDDoS, са претърпели минимални промени в сравнение с по-ранните версии. Бяха въведени някои малки корекции, за да се подобри сложността на обратното инженерство. Следователно консенсусът е, че въпреки че съществуват промени, те са относително ограничени.
Разнообразен набор от цели, наблюдавани при операциите за ботнет атака на CatDDoS
Към октомври 2023 г. по-голямата част от целите, засегнати от зловреден софтуер, са били разположени в Китай, следван от САЩ, Япония, Сингапур, Франция, Канада, Обединеното кралство, България, Германия, Холандия и Индия.
Оттогава изследователите наблюдават изместване на фокуса към страни като САЩ, Франция, Германия, Бразилия и Китай. Целите обхващат различни индустрии, включително доставчици на облачни услуги, образование, научни изследвания, предаване на информация, публична администрация и строителство.
Трябва да се отбележи, че в допълнение към използването на алгоритъма ChaCha20 за криптиране на комуникации със сървъра C2, злонамереният софтуер използва OpenNIC домейн за C2, тактика, използвана преди това от друг базиран на Mirai DDoS ботнет, известен като Fodcha. Интересно е, че CatDDoS споделя същата двойка ключ/nonce за алгоритъма ChaCha20 с три други DDoS ботнета, наречени hailBot, VapeBot и Woodman.
