بات نت CatDDoS

محققانی که بات‌نت‌های DDoS فعال‌تر را تجزیه و تحلیل می‌کنند، افزایش عملیات حمله به سایبرگنگ‌های مرتبط با CatDDoS را گزارش کرده‌اند. در جریان تحقیقات خود، کارشناسان موفق شدند تأیید کنند که مجرمان سایبری از بیش از 80 آسیب‌پذیری برای به خطر انداختن دستگاه‌های هدف در مدت تنها سه ماه سوء استفاده کرده‌اند. علاوه بر این، حداکثر تعداد اهداف بیش از 300 در روز مشاهده شده است. هدف مهاجمان نفوذ به دستگاه‌های آسیب‌پذیر و ربودن آن‌ها برای تبدیل شدن به بخشی از یک بات‌نت برای انجام حملات انکار سرویس توزیع‌شده (DDoS) است.

مجرمان سایبری از آسیب پذیری های متعدد برای ارائه بات نت CatDDoS سوء استفاده می کنند

این آسیب‌پذیری‌ها طیف گسترده‌ای از دستگاه‌ها از جمله روترها، تجهیزات شبکه و سایر سخت‌افزارهای عرضه‌شده توسط فروشندگان مختلف مانند Apache (ActiveMQ، Hadoop، Log4j، و RocketMQ)، Cacti، Cisco، D-Link، DrayTek، FreePBX، GitLab، Gocloud را تحت تأثیر قرار می‌دهند. Huawei، Jenkins، Linksys، Metabase، NETGEAR، Realtek، Seagate، SonicWall، Tenda، TOTOLINK، TP-Link، ZTE، Zyxel و دیگران. محققان خاطرنشان کرده‌اند که آسیب‌پذیری‌های خاصی ناشناس باقی می‌مانند و احتمالاً آسیب‌پذیری‌های صفر روز تحت شرایط خاص هستند.

CatDDoS بر اساس بات نت بدنام Mirai است

CatDDoS خود یکی از انواع Mirai از زمان پیدایش آن است. نام خود را از گنجاندن «گربه» و «میو» در نام‌ها و نمونه‌های دامنه اولیه گرفته شده است، که نشان‌دهنده تمایل سازنده آن به تم‌های گربه‌سانی است. در ابتدا در آگوست 2023 ظاهر شد، تکرارهای اخیر CatDDoS کمترین تغییرات را در روش های ارتباطی در مقایسه با نسخه های قبلی خود نشان می دهد.

گمانه زنی هایی در میان محققان وجود دارد که CatDDoS ممکن است اواخر سال گذشته تعطیل شده باشد. با این وجود، کد منبع تهدید یا توسط سازندگان آن فروخته شد یا به طور مستقل فاش شد. در نتیجه، تکرارهای جدیدی مانند RebirthLTD، Komaru، Cecilio Network، در میان دیگران، در نتیجه ظاهر شدند.

چندین گروه مجرم سایبری انواع بات نت CatDDoS خود را ایجاد کرده اند.

در حالی که گروه‌های مختلف ممکن است بر تکرارهای مختلف بات‌نت CatDDoS نظارت داشته باشند، اما در ساختار کد، پروتکل‌های ارتباطی، الگوهای رشته‌ای، روش‌های رمزگشایی و سایر جنبه‌ها کمترین واگرایی وجود دارد. در نتیجه، محققان این گونه ها را در یک خوشه یکپارچه به نام باندهای مرتبط با CatDDoS ادغام کرده اند.

در میان گونه‌های فعال جدیدتر v-2.0.4 (CatDDoS) و v-Rebirth (RebirthLTD) هستند که هر دو از رمزگذاری chacha20 برای انتقال داده‌ها با کلیدها و غیره‌های یکسان استفاده می‌کنند. این اختلاف در استفاده v-2.0.4 از دامنه OpenNIC به عنوان نام دامنه Command-and-Control (C2) آن نهفته است. در حالی که RebirthLTD در ابتدا از کد اصلی Mirai استفاده می کرد، بعداً به پایگاه کد CatDDoS منتقل شد و در حال به روز رسانی های مکرر است.

در اصل، نمونه‌های مرتبط با CatDDoS در مقایسه با نسخه‌های قبلی کمترین تغییرات را تجربه کرده‌اند. برخی از تنظیمات جزئی برای افزایش پیچیدگی مهندسی معکوس اعمال شده است. بنابراین، اجماع بر این است که در حالی که تغییرات وجود دارد، آنها نسبتا محدود هستند.

مجموعه متنوعی از اهداف مشاهده شده در عملیات حمله بات نت CatDDoS

از اکتبر 2023، اکثر اهداف مورد اصابت بدافزار در چین و پس از آن ایالات متحده، ژاپن، سنگاپور، فرانسه، کانادا، بریتانیا، بلغارستان، آلمان، هلند و هند قرار داشتند.

از آن زمان، محققان تغییر تمرکز را به سمت کشورهایی مانند ایالات متحده، فرانسه، آلمان، برزیل و چین مشاهده کردند. این اهداف صنایع مختلفی از جمله ارائه دهندگان خدمات ابری، آموزش، تحقیقات علمی، انتقال اطلاعات، مدیریت عمومی و ساخت و ساز را در بر می گیرد.

قابل ذکر است، علاوه بر استفاده از الگوریتم ChaCha20 برای رمزگذاری ارتباطات با سرور C2، این بدافزار از یک دامنه OpenNIC برای C2 استفاده می‌کند، تاکتیکی که قبلاً توسط بات‌نت DDoS دیگر مبتنی بر Mirai به نام Fodcha استفاده می‌شد. جالب اینجاست که CatDDoS همان جفت کلید/غیر یکسان را برای الگوریتم ChaCha20 با سه بات نت DDoS دیگر به نام‌های hailBot، VapeBot و Woodman به اشتراک می‌گذارد.