CatDDoS Botnet
Els investigadors que analitzen les botnets DDoS principals més actives han informat d'un augment en l'operació d'atac de cibergangs relacionats amb CatDDoS. En el transcurs de la seva investigació, els experts van aconseguir confirmar que els ciberdelinqüents han explotat més de 80 vulnerabilitats per comprometre els dispositius dirigits en només tres mesos. A més, s'ha observat que el nombre màxim d'objectius supera els 300 o més al dia. L'objectiu dels atacants és infiltrar-se en els dispositius vulnerables i segrestar-los perquè esdevinguin part d'una xarxa de bots per dur a terme atacs de denegació de servei distribuïts (DDoS).
Taula de continguts
Els ciberdelinqüents abusen de nombroses vulnerabilitats per oferir la botnet CatDDoS
Aquestes vulnerabilitats afecten una àmplia gamma de dispositius, com ara encaminadors, equips de xarxa i un altre maquinari subministrat per diversos proveïdors com Apache (ActiveMQ, Hadoop, Log4j i RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel i altres. Els investigadors han assenyalat que certes vulnerabilitats romanen sense identificar, possiblement vulnerabilitats de dia 0 en condicions específiques.
CatDDoS es basa en l'infame botnet Mirai
CatDDoS és en si mateix una variant de Mirai des dels seus inicis. Deriva el seu nom de la inclusió de "cat" i "miau" en els primers noms de domini i mostres, cosa que indica una afinitat cap als temes felins per part del seu creador. Inicialment a l'agost de 2023, les iteracions recents de CatDDoS presenten alteracions mínimes en els mètodes de comunicació en comparació amb les seves versions anteriors.
Hi ha especulacions entre els investigadors que CatDDoS podria haver estat tancat a finals de l'any passat. No obstant això, el codi font de l'amenaça va ser venut pels seus creadors o es va filtrar de manera independent. En conseqüència, han sorgit noves iteracions com RebirthLTD, Komaru, Cecilio Network, entre d'altres.
Diversos grups cibercriminals han creat les seves pròpies variants de botnet CatDDoS
Tot i que diversos grups poden supervisar diferents iteracions de CatDDoS Botnet, hi ha una divergència mínima en l'estructura del codi, protocols de comunicació, patrons de cadena, metodologies de desxifrat i altres aspectes. En conseqüència, els investigadors han consolidat aquestes variants en un clúster unificat conegut com a bandes relacionades amb CatDDoS.
Entre les variants actives més recents es troben v-2.0.4 (CatDDoS) i v-Rebirth (RebirthLTD), ambdues que utilitzen el xifratge chacha20 per a la transmissió de dades, amb claus i noces idèntiques. La discrepància rau en la utilització de la v-2.0.4 del domini OpenNIC com a nom de domini de comandament i control (C2). Tot i que RebirthLTD va utilitzar inicialment el codi original de Mirai, més tard va passar a la base de codi de CatDDoS i s'està sotmetent a actualitzacions freqüents.
En essència, les mostres relacionades amb CatDDoS han sofert alteracions mínimes en comparació amb versions anteriors. S'han implementat alguns ajustos menors per millorar la complexitat de l'enginyeria inversa. Per tant, el consens és que si bé els canvis existeixen, són relativament limitats.
Un conjunt divers d'objectius observats a les operacions d'atac de botnets CatDDoS
A l'octubre de 2023, la majoria dels objectius afectats pel programari maliciós es trobaven a la Xina, seguits dels EUA, Japó, Singapur, França, Canadà, Regne Unit, Bulgària, Alemanya, Països Baixos i l'Índia.
Des de llavors, els investigadors han observat un canvi d'enfocament cap a països com els EUA, França, Alemanya, el Brasil i la Xina. Els objectius abasten diverses indústries, com ara proveïdors de serveis al núvol, educació, investigació científica, transmissió d'informació, administració pública i construcció.
En particular, a més d'utilitzar l'algoritme ChaCha20 per xifrar les comunicacions amb el servidor C2, el programari maliciós utilitza un domini OpenNIC per a C2, una tàctica utilitzada anteriorment per una altra botnet DDoS basada en Mirai coneguda com Fodcha. Curiosament, CatDDoS comparteix el mateix parell clau/nonce per a l'algoritme ChaCha20 amb altres tres botnets DDoS anomenades hailBot, VapeBot i Woodman.
