CatDDoS বটনেট

গবেষকরা আরও সক্রিয় মূলধারার ডিডিওএস বটনেট বিশ্লেষণ করে ক্যাটডিডিওএস-সম্পর্কিত সাইবারগ্যাংগুলির আক্রমণ অভিযানে বৃদ্ধির কথা জানিয়েছেন। তাদের তদন্তের সময়, বিশেষজ্ঞরা নিশ্চিত করতে পেরেছেন যে সাইবার অপরাধীরা মাত্র তিন মাসের ব্যবধানে লক্ষ্যযুক্ত ডিভাইসগুলির সাথে আপস করার জন্য 80 টিরও বেশি দুর্বলতাকে কাজে লাগিয়েছে। অতিরিক্তভাবে, লক্ষ্যমাত্রার সর্বোচ্চ সংখ্যা প্রতিদিন 300+ অতিক্রম করতে দেখা গেছে। আক্রমণকারীদের লক্ষ্য হল দুর্বল ডিভাইসগুলিতে অনুপ্রবেশ করা এবং ডিস্ট্রিবিউটেড ডিনায়াল-অফ-সার্ভিস (DDoS) আক্রমণ চালানোর জন্য একটি বটনেটের অংশ হয়ে তাদের হাইজ্যাক করা।

সাইবার অপরাধীরা CatDDoS বটনেট সরবরাহ করতে অসংখ্য দুর্বলতার অপব্যবহার করে

এই দুর্বলতাগুলি রাউটার, নেটওয়ার্কিং সরঞ্জাম এবং Apache (ActiveMQ, Hadoop, Log4j, এবং RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, এর মতো বিভিন্ন বিক্রেতাদের দ্বারা সরবরাহ করা অন্যান্য হার্ডওয়্যার সহ বিস্তৃত ডিভাইসগুলির উপর প্রভাব ফেলে। Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel এবং অন্যান্য। গবেষকরা উল্লেখ করেছেন যে নির্দিষ্ট দুর্বলতাগুলি অজানা থেকে যায়, সম্ভবত নির্দিষ্ট পরিস্থিতিতে 0-দিনের দুর্বলতা।

CatDDoS কুখ্যাত মিরাই বটনেটের উপর ভিত্তি করে

ক্যাটডিডিওএস এর শুরু থেকেই মিরাইয়ের একটি রূপ। এটি প্রাথমিক ডোমেন নাম এবং নমুনাগুলিতে 'বিড়াল' এবং 'মিওউ' অন্তর্ভুক্ত থেকে এর নামটি পেয়েছে, যা এর স্রষ্টার দ্বারা বিড়াল থিমের প্রতি একটি সখ্যতা নির্দেশ করে। প্রাথমিকভাবে আগস্ট 2023-এ দেখা যাচ্ছে, CatDDoS-এর সাম্প্রতিক পুনরাবৃত্তিগুলি এর আগের সংস্করণগুলির তুলনায় যোগাযোগ পদ্ধতিতে ন্যূনতম পরিবর্তন প্রদর্শন করে।

গবেষকদের মধ্যে জল্পনা রয়েছে যে CatDDoS গত বছরের শেষের দিকে বন্ধ হয়ে যেতে পারে। তা সত্ত্বেও, হুমকির সোর্স কোড হয় এর নির্মাতাদের দ্বারা বিক্রি করা হয়েছে বা স্বাধীনভাবে ফাঁস করা হয়েছে। ফলস্বরূপ, নতুন পুনরাবৃত্তি যেমন RebirthLTD, Komaru, Cecilio Network, অন্যদের মধ্যে, ফলাফল হিসাবে আবির্ভূত হয়েছে।

বেশ কয়েকটি সাইবার অপরাধী গ্রুপ তাদের নিজস্ব CatDDoS বটনেট ভেরিয়েন্ট তৈরি করেছে

যদিও বিভিন্ন গোষ্ঠী CatDDoS বটনেটের বিভিন্ন পুনরাবৃত্তির তত্ত্বাবধান করতে পারে, কোড গঠন, যোগাযোগ প্রোটোকল, স্ট্রিং প্যাটার্ন, ডিক্রিপশন পদ্ধতি এবং অন্যান্য দিকগুলিতে ন্যূনতম ভিন্নতা রয়েছে। ফলস্বরূপ, গবেষকরা এই রূপগুলিকে ক্যাটডিডিওএস-সম্পর্কিত গ্যাং নামে পরিচিত একটি ইউনিফাইড ক্লাস্টারে একত্রিত করেছেন।

সাম্প্রতিক সক্রিয় ভেরিয়েন্টগুলির মধ্যে রয়েছে v-2.0.4 (CatDDoS) এবং v-Rebirth (RebirthLTD), উভয়ই ডেটা ট্রান্সমিশনের জন্য chacha20 এনক্রিপশন ব্যবহার করে, অভিন্ন কী এবং ননসেস সহ। পার্থক্যটি v-2.0.4 এর কমান্ড-এন্ড-কন্ট্রোল (C2) ডোমেন নাম হিসাবে OpenNIC ডোমেনের ব্যবহারে রয়েছে। RebirthLTD প্রাথমিকভাবে Mirai-এর মূল কোড ব্যবহার করলেও, এটি পরে CatDDoS-এর কোডবেসে রূপান্তরিত হয়েছে এবং ঘন ঘন আপডেট হচ্ছে।

সংক্ষেপে, ক্যাটডিডিওএস-সম্পর্কিত নমুনাগুলি আগের সংস্করণগুলির তুলনায় ন্যূনতম পরিবর্তনের মধ্য দিয়ে গেছে। বিপরীত প্রকৌশলের জটিলতা বাড়ানোর জন্য কিছু ছোটখাটো সমন্বয় প্রয়োগ করা হয়েছে। সুতরাং, ঐকমত্য হল যে পরিবর্তনগুলি বিদ্যমান থাকাকালীন, তারা তুলনামূলকভাবে সীমিত।

CatDDoS বটনেট অ্যাটাক অপারেশনে লক্ষ্যের একটি বৈচিত্র্যপূর্ণ সেট পর্যবেক্ষণ করা হয়েছে

2023 সালের অক্টোবর পর্যন্ত, ম্যালওয়্যার দ্বারা আক্রান্ত বেশিরভাগ লক্ষ্যবস্তু ছিল চীনে, তারপরে মার্কিন যুক্তরাষ্ট্র, জাপান, সিঙ্গাপুর, ফ্রান্স, কানাডা, যুক্তরাজ্য, বুলগেরিয়া, জার্মানি, নেদারল্যান্ডস এবং ভারত।

তারপর থেকে, গবেষকরা মার্কিন যুক্তরাষ্ট্র, ফ্রান্স, জার্মানি, ব্রাজিল এবং চীনের মতো দেশগুলির দিকে মনোনিবেশের পরিবর্তন লক্ষ্য করেছেন। লক্ষ্যগুলি ক্লাউড পরিষেবা প্রদানকারী, শিক্ষা, বৈজ্ঞানিক গবেষণা, তথ্য ট্রান্সমিশন, জনপ্রশাসন এবং নির্মাণ সহ বিভিন্ন শিল্পে বিস্তৃত।

উল্লেখযোগ্যভাবে, C2 সার্ভারের সাথে যোগাযোগ এনক্রিপ্ট করার জন্য ChaCha20 অ্যালগরিদম ব্যবহার করার পাশাপাশি, ম্যালওয়্যার C2-এর জন্য একটি OpenNIC ডোমেন ব্যবহার করে, একটি কৌশল যা পূর্বে Fodcha নামে পরিচিত অন্য Mirai-ভিত্তিক DDoS বটনেট দ্বারা ব্যবহৃত হয়েছিল। আশ্চর্যজনকভাবে, CatDDoS ChaCha20 অ্যালগরিদমের জন্য একই কী/নন্স পেয়ার শেয়ার করে হেলবট, ভ্যাপবট এবং উডম্যান নামে তিনটি অন্য DDoS বটনেটের সাথে।