CatDDoS Botnet
Οι ερευνητές που αναλύουν τα πιο ενεργά mainstream botnet DDoS έχουν αναφέρει μια αύξηση της λειτουργίας επίθεσης cybergangs που σχετίζονται με το CatDDoS. Κατά τη διάρκεια της έρευνάς τους, οι ειδικοί κατάφεραν να επιβεβαιώσουν ότι οι εγκληματίες του κυβερνοχώρου έχουν εκμεταλλευτεί πάνω από 80 ευπάθειες για να υπονομεύσουν στοχευμένες συσκευές σε διάστημα μόλις τριών μηνών. Επιπλέον, ο μέγιστος αριθμός στόχων έχει παρατηρηθεί ότι υπερβαίνει τους 300+ ανά ημέρα. Ο στόχος των εισβολέων είναι να διεισδύσουν στις ευάλωτες συσκευές και να τις παραβιάσουν ώστε να γίνουν μέρος ενός botnet για τη διεξαγωγή επιθέσεων κατανεμημένης άρνησης υπηρεσίας (DDoS).
Πίνακας περιεχομένων
Κυβερνοεγκληματίες καταχρώνται πολυάριθμες ευπάθειες για την παράδοση του CatDDoS Botnet
Αυτές οι ευπάθειες επηρεάζουν ένα ευρύ φάσμα συσκευών, συμπεριλαμβανομένων δρομολογητών, εξοπλισμού δικτύωσης και άλλου υλικού που παρέχεται από διάφορους προμηθευτές όπως οι Apache (ActiveMQ, Hadoop, Log4j και RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel και άλλα. Οι ερευνητές έχουν επισημάνει ότι ορισμένα τρωτά σημεία παραμένουν απροσδιόριστα, πιθανώς να είναι ευπάθειες 0 ημερών υπό συγκεκριμένες συνθήκες.
Το CatDDoS βασίζεται στο διαβόητο Mirai Botnet
Το CatDDoS είναι το ίδιο μια παραλλαγή του Mirai από την έναρξή του. Προέρχεται το όνομά του από τη συμπερίληψη των λέξεων «γάτα» και «νιαούρισμα» σε πρώιμα ονόματα τομέα και δείγματα, υποδεικνύοντας μια συγγένεια με θέματα αιλουροειδών από τον δημιουργό του. Αρχικά εμφανίστηκαν τον Αύγουστο του 2023, οι πρόσφατες επαναλήψεις του CatDDoS παρουσιάζουν ελάχιστες αλλαγές στις μεθόδους επικοινωνίας σε σύγκριση με τις προηγούμενες εκδόσεις του.
Υπάρχουν εικασίες μεταξύ των ερευνητών ότι το CatDDoS μπορεί να είχε κλείσει στα τέλη του περασμένου έτους. Ωστόσο, ο πηγαίος κώδικας της απειλής είτε πουλήθηκε από τους δημιουργούς της είτε διέρρευσε ανεξάρτητα. Κατά συνέπεια, νέες επαναλήψεις όπως RebirthLTD, Komaru, Cecilio Network, μεταξύ άλλων, έχουν προκύψει ως αποτέλεσμα.
Αρκετές ομάδες κυβερνοεγκληματιών έχουν δημιουργήσει τις δικές τους παραλλαγές Botnet CatDDoS
Ενώ διάφορες ομάδες μπορεί να επιβλέπουν διαφορετικές επαναλήψεις του CatDDoS Botnet, υπάρχει ελάχιστη απόκλιση στη δομή του κώδικα, τα πρωτόκολλα επικοινωνίας, τα μοτίβα συμβολοσειρών, τις μεθοδολογίες αποκρυπτογράφησης και άλλες πτυχές. Κατά συνέπεια, οι ερευνητές έχουν ενοποιήσει αυτές τις παραλλαγές σε ένα ενοποιημένο σύμπλεγμα γνωστό ως συμμορίες που σχετίζονται με το CatDDoS.
Μεταξύ των πιο πρόσφατων ενεργών παραλλαγών είναι η v-2.0.4 (CatDDoS) και η v-Rebirth (RebirthLTD), και οι δύο χρησιμοποιούν κρυπτογράφηση chacha20 για τη μετάδοση δεδομένων, με ίδια κλειδιά και nonces. Η ασυμφωνία έγκειται στη χρήση του τομέα OpenNIC από το v-2.0.4 ως όνομα τομέα Command-and-Control (C2). Ενώ το RebirthLTD αρχικά χρησιμοποίησε τον αρχικό κώδικα του Mirai, αργότερα μετατράπηκε στη βάση κώδικα του CatDDoS και υφίσταται συχνές ενημερώσεις.
Ουσιαστικά, τα δείγματα που σχετίζονται με το CatDDoS έχουν υποστεί ελάχιστες αλλοιώσεις σε σύγκριση με προηγούμενες εκδόσεις. Ορισμένες μικρές προσαρμογές έχουν εφαρμοστεί για να ενισχυθεί η πολυπλοκότητα της αντίστροφης μηχανικής. Έτσι, η συναίνεση είναι ότι ενώ υπάρχουν αλλαγές, είναι σχετικά περιορισμένες.
Ένα διαφορετικό σύνολο στόχων που παρατηρήθηκαν στις λειτουργίες επίθεσης Botnet CatDDoS
Από τον Οκτώβριο του 2023, η πλειονότητα των στόχων που χτυπήθηκαν από το κακόβουλο λογισμικό βρίσκονταν στην Κίνα, ακολουθούμενη από τις ΗΠΑ, την Ιαπωνία, τη Σιγκαπούρη, τη Γαλλία, τον Καναδά, το Ηνωμένο Βασίλειο, τη Βουλγαρία, τη Γερμανία, την Ολλανδία και την Ινδία.
Έκτοτε, οι ερευνητές έχουν παρατηρήσει μια μετατόπιση της εστίασης προς χώρες όπως οι ΗΠΑ, η Γαλλία, η Γερμανία, η Βραζιλία και η Κίνα. Οι στόχοι καλύπτουν διάφορους κλάδους, συμπεριλαμβανομένων των παρόχων υπηρεσιών cloud, της εκπαίδευσης, της επιστημονικής έρευνας, της μετάδοσης πληροφοριών, της δημόσιας διοίκησης και των κατασκευών.
Συγκεκριμένα, εκτός από τη χρήση του αλγόριθμου ChaCha20 για την κρυπτογράφηση των επικοινωνιών με τον διακομιστή C2, το κακόβουλο λογισμικό χρησιμοποιεί έναν τομέα OpenNIC για το C2, μια τακτική που χρησιμοποιήθηκε στο παρελθόν από ένα άλλο botnet DDoS που βασίζεται στο Mirai, γνωστό ως Fodcha. Περιέργως, το CatDDoS μοιράζεται το ίδιο ζεύγος κλειδιών/nonce για τον αλγόριθμο ChaCha20 με τρία άλλα botnet DDoS που ονομάζονται hailBot, VapeBot και Woodman.
