CatDDoS बॉटनेट

अधिक सक्रिय मुख्यधारा DDoS बॉटनेट का विश्लेषण करने वाले शोधकर्ताओं ने CatDDoS से संबंधित साइबरगैंग के हमले के संचालन में वृद्धि की सूचना दी है। अपनी जांच के दौरान, विशेषज्ञ इस बात की पुष्टि करने में सफल रहे कि साइबर अपराधियों ने केवल तीन महीनों के अंतराल में लक्षित उपकरणों से समझौता करने के लिए 80 से अधिक कमजोरियों का फायदा उठाया है। इसके अतिरिक्त, लक्ष्यों की अधिकतम संख्या प्रतिदिन 300+ से अधिक देखी गई है। हमलावरों का लक्ष्य कमजोर उपकरणों में घुसपैठ करना और उन्हें वितरित इनकार-सेवा (DDoS) हमलों को अंजाम देने के लिए बॉटनेट का हिस्सा बनने के लिए अपहरण करना है।

साइबर अपराधी CatDDoS बॉटनेट को वितरित करने के लिए कई कमजोरियों का दुरुपयोग करते हैं

ये कमज़ोरियाँ राउटर, नेटवर्किंग उपकरण और अपाचे (एक्टिवएमक्यू, हडॉप, लॉग4जे, और रॉकेटएमक्यू), कैक्टि, सिस्को, डी-लिंक, ड्रायटेक, फ्रीपीबीएक्स, गिटलैब, गोक्लाउड, हुआवेई, जेनकिंस, लिंक्सिस, मेटाबेस, नेटगियर, रियलटेक, सीगेट, सोनिकवॉल, टेंडा, टोटोलिंक, टीपी-लिंक, जेडटीई, ज़ीक्सेल और अन्य जैसे विभिन्न विक्रेताओं द्वारा आपूर्ति किए गए अन्य हार्डवेयर सहित उपकरणों की एक विस्तृत श्रृंखला को प्रभावित करती हैं। शोधकर्ताओं ने बताया है कि कुछ कमज़ोरियाँ अभी भी अज्ञात हैं, संभवतः विशिष्ट परिस्थितियों में 0-दिन की कमज़ोरियाँ हैं।

CatDDoS कुख्यात मिराई बॉटनेट पर आधारित है

CatDDoS अपनी शुरुआत से ही Mirai का ही एक प्रकार है। इसका नाम शुरुआती डोमेन नामों और नमूनों में 'बिल्ली' और 'म्याऊ' को शामिल करने से लिया गया है, जो इसके निर्माता द्वारा बिल्ली के समान थीम के प्रति लगाव को दर्शाता है। अगस्त 2023 में शुरू होने वाले CatDDoS के हालिया संस्करणों में इसके पहले के संस्करणों की तुलना में संचार विधियों में न्यूनतम परिवर्तन प्रदर्शित किए गए हैं।

शोधकर्ताओं के बीच अटकलें हैं कि CatDDoS को पिछले साल के अंत में बंद कर दिया गया होगा। फिर भी, खतरे का स्रोत कोड या तो इसके निर्माताओं द्वारा बेचा गया था या स्वतंत्र रूप से लीक किया गया था। नतीजतन, रीबर्थएलटीडी, कोमारू, सेसिलियो नेटवर्क जैसे नए संस्करण सामने आए हैं।

कई साइबर अपराधी समूहों ने अपने स्वयं के CatDDoS बॉटनेट वेरिएंट बनाए हैं

जबकि विभिन्न समूह CatDDoS बॉटनेट के विभिन्न पुनरावृत्तियों की देखरेख कर सकते हैं, कोड संरचना, संचार प्रोटोकॉल, स्ट्रिंग पैटर्न, डिक्रिप्शन पद्धतियों और अन्य पहलुओं में न्यूनतम विचलन है। नतीजतन, शोधकर्ताओं ने इन वेरिएंट को एक एकीकृत क्लस्टर में समेकित किया है जिसे CatDDoS-संबंधित गिरोह के रूप में जाना जाता है।

हाल ही में सक्रिय वेरिएंट में v-2.0.4 (CatDDoS) और v-Rebirth (RebirthLTD) शामिल हैं, दोनों ही डेटा ट्रांसमिशन के लिए chacha20 एन्क्रिप्शन का उपयोग करते हैं, जिसमें समान कुंजियाँ और नॉन्स हैं। विसंगति v-2.0.4 के OpenNIC डोमेन के उपयोग में निहित है, जो इसके कमांड-एंड-कंट्रोल (C2) डोमेन नाम के रूप में है। जबकि RebirthLTD ने शुरू में Mirai के मूल कोड का उपयोग किया, बाद में यह CatDDoS के कोडबेस में परिवर्तित हो गया और लगातार अपडेट से गुजर रहा है।

संक्षेप में, CatDDoS-संबंधित नमूनों में पिछले संस्करणों की तुलना में न्यूनतम परिवर्तन किए गए हैं। रिवर्स इंजीनियरिंग की जटिलता को बढ़ाने के लिए कुछ छोटे समायोजन लागू किए गए हैं। इस प्रकार, आम सहमति यह है कि परिवर्तन मौजूद होने के बावजूद, वे अपेक्षाकृत सीमित हैं।

CatDDoS बॉटनेट हमले के संचालन में लक्ष्यों का एक विविध सेट देखा गया

अक्टूबर 2023 तक, मैलवेयर से प्रभावित अधिकांश लक्ष्य चीन में स्थित थे, इसके बाद अमेरिका, जापान, सिंगापुर, फ्रांस, कनाडा, यूके, बुल्गारिया, जर्मनी, नीदरलैंड और भारत का स्थान था।

तब से, शोधकर्ताओं ने अमेरिका, फ्रांस, जर्मनी, ब्राजील और चीन जैसे देशों की ओर ध्यान केंद्रित करने में बदलाव देखा है। लक्ष्य विभिन्न उद्योगों को कवर करते हैं, जिनमें क्लाउड सेवा प्रदाता, शिक्षा, वैज्ञानिक अनुसंधान, सूचना प्रसारण, लोक प्रशासन और निर्माण शामिल हैं।

उल्लेखनीय रूप से, C2 सर्वर के साथ संचार को एन्क्रिप्ट करने के लिए ChaCha20 एल्गोरिथ्म को नियोजित करने के अलावा, मैलवेयर C2 के लिए एक OpenNIC डोमेन का उपयोग करता है, एक ऐसी रणनीति जिसका उपयोग पहले Fodcha नामक एक अन्य Mirai-आधारित DDoS बॉटनेट द्वारा किया गया था। दिलचस्प बात यह है कि CatDDoS ChaCha20 एल्गोरिथ्म के लिए वही कुंजी/नॉन्स जोड़ी तीन अन्य DDoS बॉटनेट के साथ साझा करता है जिनका नाम है हेलबॉट, वेपबॉट और वुडमैन है।