CatDDoS Botnet
חוקרים שניתחו את רשתות הבוטנט המיינסטרים הפעילים יותר של DDoS דיווחו על עלייה בפעולת ההתקפה של כנופיות סייבר הקשורות ל-CatDDoS. במהלך חקירתם, הצליחו המומחים לאשר שפושעי הסייבר ניצלו למעלה מ-80 נקודות תורפה כדי להתפשר על מכשירים ממוקדים בטווח של שלושה חודשים בלבד. בנוסף, מספר היעדים המרבי נצפה עולה על 300+ ליום. מטרת התוקפים היא לחדור למכשירים הפגיעים ולחטוף אותם כדי להפוך לחלק מרשת בוט לביצוע התקפות מניעת שירות מבוזרות (DDoS).
תוכן העניינים
פושעי סייבר מנצלים פגיעויות רבות כדי לספק את ה-CatDDoS Botnet
פגיעויות אלו משפיעות על מגוון רחב של מכשירים כולל נתבים, ציוד רשת וחומרה אחרת המסופקת על ידי ספקים שונים כמו Apache (ActiveMQ, Hadoop, Log4j ו- RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel ואחרים. חוקרים ציינו כי פגיעויות מסוימות נותרות בלתי מזוהות, אולי הן פגיעות של 0 ימים בתנאים ספציפיים.
CatDDoS מבוסס על Mirai Botnet הידוע לשמצה
CatDDoS הוא בעצמו גרסה של Mirai מאז הקמתה. הוא שואב את שמו מההכללה של 'חתול' ו'מיאו' בשמות תחום ובדוגמאות מוקדמות, מה שמצביע על זיקה לנושאים חתוליים על ידי היוצר שלו. תחילה על פני השטח באוגוסט 2023, איטרציות אחרונות של CatDDoS מציגות שינויים מינימליים בשיטות התקשורת בהשוואה לגרסאות הקודמות שלה.
יש ספקולציות בקרב חוקרים שאולי CatDDoS נסגר בסוף השנה שעברה. עם זאת, קוד המקור של האיום נמכר על ידי יוצריו או דלף באופן עצמאי. כתוצאה מכך, איטרציות חדשות כמו RebirthLTD, Komaru, Cecilio Network, בין היתר, הופיעו כתוצאה מכך.
מספר קבוצות של פושעי סייבר יצרו גרסאות CatDDoS Botnet משלהן
בעוד שקבוצות שונות עשויות לפקח על איטרציות שונות של CatDDoS Botnet, יש הבדלים מינימליים במבנה הקוד, פרוטוקולי תקשורת, דפוסי מחרוזת, מתודולוגיות פענוח והיבטים אחרים. כתוצאה מכך, חוקרים איחדו את הגרסאות הללו לאשכול מאוחד המכונה כנופיות הקשורות ל-CatDDoS.
בין הגרסאות האקטיביות העדכניות יותר ניתן למצוא את v-2.0.4 (CatDDoS) ו-v-Rebirth (RebirthLTD), שניהם משתמשים בהצפנת chacha20 להעברת נתונים, עם מפתחות ו-nonces זהים. הפער נעוץ בשימוש של v-2.0.4 בדומיין OpenNIC כשם התחום של Command-and-Control (C2). בעוד RebirthLTD השתמש בתחילה בקוד המקורי של Mirai, הוא עבר מאוחר יותר לבסיס הקוד של CatDDoS ועובר עדכונים תכופים.
למעשה, הדגימות הקשורות ל-CatDDoS עברו שינויים מינימליים בהשוואה לגרסאות קודמות. כמה התאמות קטנות יושמו כדי לשפר את המורכבות של הנדסה לאחור. לפיכך, הקונצנזוס הוא שאמנם קיימים שינויים, אך הם מוגבלים יחסית.
קבוצה מגוונת של יעדים שנצפו במבצעי התקפת Botnet CatDDoS
נכון לאוקטובר 2023, רוב היעדים שנפגעו מהתוכנה הזדונית היו ממוקמים בסין, ואחריהם ארה"ב, יפן, סינגפור, צרפת, קנדה, בריטניה, בולגריה, גרמניה, הולנד והודו.
מאז, חוקרים הבחינו בשינוי במיקוד לעבר מדינות כמו ארה"ב, צרפת, גרמניה, ברזיל וסין. היעדים משתרעים על תעשיות שונות, כולל ספקי שירותי ענן, חינוך, מחקר מדעי, העברת מידע, מינהל ציבורי ובנייה.
יש לציין, בנוסף לשימוש באלגוריתם ChaCha20 להצפנת תקשורת עם שרת C2, התוכנה הזדונית משתמשת בדומיין OpenNIC עבור C2, טקטיקה ששימשה בעבר על ידי רשת DDoS אחרת מבוססת Mirai הידועה בשם Fodcha. באופן מסקרן, CatDDoS חולק את אותו צמד מפתח/נונס עבור אלגוריתם ChaCha20 עם שלוש רשתות בוטנט DDoS אחרות בשם hailBot, VapeBot ו- Woodman.
