CatDDoS Botnet
Forskere, der analyserer de mere aktive mainstream DDoS botnets, har rapporteret en stigning i angrebsoperationen af CatDDoS-relaterede cybergange. I løbet af deres undersøgelse lykkedes det eksperterne at bekræfte, at cyberkriminelle har udnyttet over 80 sårbarheder til at kompromittere målrettede enheder i løbet af blot tre måneder. Derudover er det maksimale antal mål blevet observeret til at overstige 300+ pr. dag. Målet med angriberne er at infiltrere de sårbare enheder og kapere dem til at blive en del af et botnet til at udføre distribuerede denial-of-service (DDoS) angreb.
Indholdsfortegnelse
Cyberkriminelle misbruger adskillige sårbarheder til at levere CatDDoS-botnettet
Disse sårbarheder påvirker en bred vifte af enheder, herunder routere, netværksudstyr og anden hardware leveret af forskellige leverandører som Apache (ActiveMQ, Hadoop, Log4j og RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel og andre. Forskere har påpeget, at visse sårbarheder forbliver uidentificerede, muligvis 0-dages sårbarheder under specifikke forhold.
CatDDoS er baseret på det berygtede Mirai Botnet
CatDDoS er i sig selv en variant af Mirai siden starten. Den får sit navn fra inkluderingen af 'kat' og 'mjav' i tidlige domænenavne og prøver, hvilket indikerer en affinitet til kattetemaer fra dens skaber. Oprindeligt dukkede op i august 2023, nyere iterationer af CatDDoS udviser minimale ændringer i kommunikationsmetoder sammenlignet med dets tidligere versioner.
Der er spekulationer blandt forskere om, at CatDDoS kunne være blevet lukket i slutningen af sidste år. Ikke desto mindre blev truslens kildekode enten solgt af dens skabere eller lækket uafhængigt. Som følge heraf er nye iterationer som RebirthLTD, Komaru, Cecilio Network, blandt andre, dukket op som et resultat.
Flere cyberkriminelle grupper har oprettet deres egne CatDDoS Botnet-varianter
Mens forskellige grupper kan overvåge forskellige iterationer af CatDDoS Botnet, er der minimal divergens i kodestruktur, kommunikationsprotokoller, strengmønstre, dekrypteringsmetoder og andre aspekter. Som følge heraf har forskere konsolideret disse varianter i en samlet klynge kendt som de CatDDoS-relaterede bander.
Blandt de nyere aktive varianter er v-2.0.4 (CatDDoS) og v-Rebirth (RebirthLTD), begge anvender chacha20-kryptering til datatransmission med identiske nøgler og nonces. Uoverensstemmelsen ligger i v-2.0.4's brug af OpenNIC-domænet som dets Command-and-Control (C2) domænenavn. Mens RebirthLTD oprindeligt brugte Mirais originale kode, overgik den senere til CatDDoS's kodebase og gennemgår hyppige opdateringer.
I det væsentlige har de CatDDoS-relaterede prøver gennemgået minimale ændringer sammenlignet med tidligere versioner. Nogle mindre justeringer er blevet implementeret for at øge kompleksiteten af reverse engineering. Der er således konsensus om, at selvom ændringer eksisterer, er de relativt begrænsede.
Et forskelligt sæt mål observeret i CatDDoS Botnet-angrebsoperationerne
Fra oktober 2023 var størstedelen af målene, der blev ramt af malwaren, beliggende i Kina, efterfulgt af USA, Japan, Singapore, Frankrig, Canada, Storbritannien, Bulgarien, Tyskland, Holland og Indien.
Siden da har forskere observeret et skift i fokus mod lande som USA, Frankrig, Tyskland, Brasilien og Kina. Målene spænder over forskellige brancher, herunder cloud-tjenesteudbydere, uddannelse, videnskabelig forskning, informationstransmission, offentlig administration og byggeri.
Især, ud over at anvende ChaCha20-algoritmen til kryptering af kommunikation med C2-serveren, bruger malwaren et OpenNIC-domæne til C2, en taktik, der tidligere blev brugt af et andet Mirai-baseret DDoS-botnet kendt som Fodcha. Spændende nok deler CatDDoS det samme nøgle/nonce-par til ChaCha20-algoritmen med tre andre DDoS-botnets ved navn hailBot, VapeBot og Woodman.
