CatDDoS-bottiverkko
Aktiivisempia valtavirran DDoS-bottiverkkoja analysoivat tutkijat ovat raportoineet CatDDoS-kybergangien hyökkäystoiminnan lisääntymisestä. Asiantuntijat onnistuivat tutkimuksensa aikana vahvistamaan, että kyberrikolliset ovat vain kolmen kuukauden aikana hyödyntäneet yli 80 haavoittuvuutta vaarantaakseen kohteena olevat laitteet. Lisäksi kohteiden enimmäismäärän on havaittu ylittävän 300+ päivässä. Hyökkääjien tavoitteena on tunkeutua haavoittuviin laitteisiin ja kaapata ne osaksi botnet-verkkoa, joka suorittaa hajautettuja palvelunestohyökkäyksiä (DDoS).
Sisällysluettelo
Kyberrikolliset käyttävät väärin lukuisia haavoittuvuuksia toimittaakseen CatDDoS-botnetin
Nämä haavoittuvuudet vaikuttavat monenlaisiin laitteisiin, kuten reitittimiin, verkkolaitteisiin ja muihin laitteisiin, joita toimittavat eri valmistajat, kuten Apache (ActiveMQ, Hadoop, Log4j ja RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel ja muut. Tutkijat ovat huomauttaneet, että tietyt haavoittuvuudet jäävät tunnistamatta, mahdollisesti 0 päivän haavoittuvuuksia tietyissä olosuhteissa.
CatDDoS perustuu pahamaineiseen Mirai-botnetiin
CatDDoS on itsessään muunnos Miraista sen perustamisesta lähtien. Se on saanut nimensä "kissa" ja "miau" sisällyttämisestä varhaisiin verkkotunnusten nimiin ja näytteisiin, mikä osoittaa, että sen luoja on kiinnostunut kissan teemoista. Alun perin elokuussa 2023 ilmestyneissä CatDDoS:n uusimmissa iteraatioissa viestintämenetelmissä on vain vähän muutoksia verrattuna sen aikaisempiin versioihin.
Tutkijat spekuloivat, että CatDDoS olisi saatettu sulkea viime vuoden lopulla. Siitä huolimatta uhan lähdekoodi joko myivät sen luojat tai vuoti itsenäisesti. Tämän seurauksena uusia iteraatioita, kuten RebirthLTD, Komaru, Cecilio Network, on syntynyt mm.
Useat kyberrikollisryhmät ovat luoneet omia CatDDoS-bottiverkkoja
Vaikka useat ryhmät voivat valvoa CatDDoS-botnetin eri iteraatioita, koodirakenteessa, viestintäprotokollassa, merkkijonokuvioissa, salauksenpurkumenetelmissä ja muissa näkökohdissa on vain vähän eroja. Tämän seurauksena tutkijat ovat yhdistäneet nämä variantit yhtenäiseksi klusteriksi, joka tunnetaan nimellä CatDDoS-liittyvät jengit.
Uusimpien aktiivisten muunnelmien joukossa ovat v-2.0.4 (CatDDoS) ja v-Rebirth (RebirthLTD), jotka molemmat käyttävät chacha20-salausta tiedonsiirrossa identtisillä avaimilla ja noncesilla. Ero on siinä, että v-2.0.4 käyttää OpenNIC-verkkoaluetta Command-and-Control (C2) -verkkotunnuksena. Vaikka RebirthLTD käytti alun perin Mirain alkuperäistä koodia, se siirtyi myöhemmin CatDDoS:n koodikantaan ja sitä päivitetään usein.
Pohjimmiltaan CatDDoS:ään liittyvissä näytteissä on tehty minimaalisia muutoksia aiempiin versioihin verrattuna. Joitakin pieniä muutoksia on tehty käänteisen suunnittelun monimutkaisuuden lisäämiseksi. Näin ollen yksimielisyys on, että vaikka muutoksia on olemassa, ne ovat suhteellisen rajallisia.
CatDDoS-bottiverkkohyökkäysoperaatioissa havaittu monipuolinen joukko tavoitteita
Lokakuussa 2023 suurin osa haittaohjelman kohteista sijaitsi Kiinassa, ja sen jälkeen seuraavat Yhdysvallat, Japani, Singapore, Ranska, Kanada, Iso-Britannia, Bulgaria, Saksa, Alankomaat ja Intia.
Sittemmin tutkijat ovat havainneet painopisteen siirtymistä sellaisiin maihin kuin Yhdysvallat, Ranska, Saksa, Brasilia ja Kiina. Tavoitteet kattavat useita toimialoja, mukaan lukien pilvipalvelujen tarjoajat, koulutus, tieteellinen tutkimus, tiedonsiirto, julkishallinto ja rakentaminen.
Sen lisäksi, että haittaohjelma käyttää ChaCha20-algoritmia C2-palvelimen kanssa käytävän viestinnän salaamiseen, se käyttää OpenNIC-verkkoaluetta C2:lle, taktiikkaa, jota aiemmin käytti toinen Mirai-pohjainen DDoS-botnet, joka tunnetaan nimellä Fodcha. Mielenkiintoista on, että CatDDoS jakaa saman avain/nonce-parin ChaCha20-algoritmille kolmen muun DDoS-bottiverkon kanssa, jotka ovat hailBot, VapeBot ja Woodman.
