Botnet CatDDoS
Výzkumníci analyzující aktivnější mainstreamové DDoS botnety ohlásili prudký nárůst útočných operací kybergangů souvisejících s CatDDoS. V průběhu vyšetřování se expertům podařilo potvrdit, že kyberzločinci během pouhých tří měsíců zneužili více než 80 zranitelností ke kompromitaci cílených zařízení. Navíc bylo pozorováno, že maximální počet cílů přesahuje 300+ za den. Cílem útočníků je infiltrovat zranitelná zařízení a unést je, aby se stali součástí botnetu pro provádění distribuovaných útoků typu denial-of-service (DDoS).
Obsah
Kyberzločinci zneužívají četné zranitelnosti k poskytování botnetu CatDDoS
Tyto chyby zabezpečení mají dopad na širokou škálu zařízení včetně směrovačů, síťových zařízení a dalšího hardwaru dodávaného různými dodavateli, jako jsou Apache (ActiveMQ, Hadoop, Log4j a RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel a další. Výzkumníci poukázali na to, že některé zranitelnosti zůstávají neidentifikovány, za určitých podmínek mohou být zranitelností 0 dnů.
CatDDoS je založen na nechvalně známém botnetu Mirai
CatDDoS je sám o sobě variantou Mirai od jeho počátku. Svůj název odvozuje od zahrnutí „kočka“ a „mňau“ v raných názvech domén a vzorcích, což naznačuje afinitu svého tvůrce ke kočičím tématům. Nedávné iterace CatDDoS, které se původně objevily v srpnu 2023, vykazují minimální změny v komunikačních metodách ve srovnání s předchozími verzemi.
Mezi výzkumníky se spekuluje, že CatDDoS mohl být ukončen koncem minulého roku. Přesto byl zdrojový kód hrozby buď prodán jeho tvůrci, nebo unikl nezávisle. V důsledku toho se v důsledku toho objevily nové iterace, jako je RebirthLTD, Komaru, Cecilio Network, mezi jinými.
Několik kyberzločineckých skupin si vytvořilo vlastní varianty botnetu CatDDoS
Zatímco různé skupiny mohou dohlížet na různé iterace CatDDoS Botnetu, existují minimální rozdíly ve struktuře kódu, komunikačních protokolech, vzorcích řetězců, metodologiích dešifrování a dalších aspektech. V důsledku toho výzkumníci konsolidovali tyto varianty do jednotného seskupení známého jako gangy související s CatDDoS.
Mezi novější aktivní varianty patří v-2.0.4 (CatDDoS) a v-Rebirth (RebirthLTD), obě využívající šifrování chacha20 pro přenos dat, s identickými klíči a nonces. Nesrovnalost spočívá ve využití domény OpenNIC ve verzi 2.0.4 jako názvu domény Command-and-Control (C2). Zatímco RebirthLTD zpočátku využíval původní kód Mirai, později přešel na kódovou základnu CatDDoS a prochází častými aktualizacemi.
V podstatě vzorky související s CatDDoS prošly minimálními změnami ve srovnání s dřívějšími verzemi. Pro zvýšení složitosti reverzního inženýrství byly provedeny některé drobné úpravy. Panuje tedy shoda v tom, že změny sice existují, ale jsou relativně omezené.
Různá sada cílů pozorovaných v operacích CatDDoS Botnet Attack Operations
Od října 2023 se většina cílů zasažených malwarem nacházela v Číně, dále v USA, Japonsku, Singapuru, Francii, Kanadě, Velké Británii, Bulharsku, Německu, Nizozemsku a Indii.
Od té doby vědci pozorovali posun v zaměření na země, jako jsou USA, Francie, Německo, Brazílie a Čína. Cíle pokrývají různá odvětví, včetně poskytovatelů cloudových služeb, vzdělávání, vědeckého výzkumu, přenosu informací, veřejné správy a stavebnictví.
Je pozoruhodné, že kromě využití algoritmu ChaCha20 pro šifrování komunikace se serverem C2 tento malware využívá doménu OpenNIC pro C2, což je taktika, kterou dříve využíval jiný botnet DDoS založený na Mirai známý jako Fodcha. Je zajímavé, že CatDDoS sdílí stejný pár klíč/nonce pro algoritmus ChaCha20 se třemi dalšími botnety DDoS s názvem hailBot, VapeBot a Woodman.
