CatDDoS botnet
Istraživači koji analiziraju aktivnije mainstream DDoS botnete izvijestili su o porastu operacija napada cybergangova povezanih s CatDDoS-om. Tijekom svoje istrage, stručnjaci su uspjeli potvrditi da su kibernetički kriminalci iskoristili više od 80 ranjivosti kako bi ugrozili ciljane uređaje u razdoblju od samo tri mjeseca. Dodatno, primijećeno je da najveći broj ciljeva premašuje 300+ po danu. Cilj napadača je infiltrirati se u ranjive uređaje i preoteti ih kako bi postali dio botneta za izvođenje distribuiranih napada uskraćivanjem usluge (DDoS).
Sadržaj
Kibernetički kriminalci zlorabe brojne ranjivosti kako bi isporučili CatDDoS botnet
Ove ranjivosti utječu na širok raspon uređaja uključujući usmjerivače, mrežnu opremu i drugi hardver koji isporučuju razni dobavljači kao što su Apache (ActiveMQ, Hadoop, Log4j i RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel i drugi. Istraživači su istaknuli da određene ranjivosti ostaju neidentificirane, a moguće je da se radi o 0-dnevnim ranjivostima pod određenim uvjetima.
CatDDoS se temelji na ozloglašenom Mirai Botnetu
CatDDoS je sam po sebi varijanta Miraija od svog početka. Ime je dobio po uključivanju riječi 'cat' i 'meow' u ranim nazivima domena i uzorcima, što ukazuje na afinitet prema mačjim temama od strane njegovog tvorca. Prvobitno objavljene u kolovozu 2023., nedavne iteracije CatDDoS-a pokazuju minimalne promjene u komunikacijskim metodama u usporedbi s ranijim verzijama.
Postoje spekulacije među istraživačima da je CatDDoS možda ugašen krajem prošle godine. Unatoč tome, izvorni kod prijetnje su ili prodali njegovi tvorci ili je procurio neovisno. Posljedično, nove iteracije poput RebirthLTD, Komaru, Cecilio Network, među ostalima, pojavile su se kao rezultat.
Nekoliko skupina kibernetičkog kriminala stvorilo je vlastite varijante CatDDoS Botneta
Iako različite skupine mogu nadzirati različite iteracije CatDDoS Botneta, postoji minimalna razlika u strukturi koda, komunikacijskim protokolima, uzorcima nizova, metodologijama dešifriranja i drugim aspektima. Posljedično, istraživači su konsolidirali ove varijante u jedinstveni klaster poznat kao bande povezane s CatDDoS-om.
Među novijim aktivnim varijantama su v-2.0.4 (CatDDoS) i v-Rebirth (RebirthLTD), obje koriste chacha20 enkripciju za prijenos podataka, s identičnim ključevima i nonce. Razlika leži u korištenju domene OpenNIC u verziji 2.0.4 kao naziva domene Command-and-Control (C2). Dok je RebirthLTD u početku koristio Miraijev izvorni kod, kasnije je prešao na CatDDoS bazu kodova i prolazi kroz česta ažuriranja.
U biti, uzorci povezani s CatDDoS-om prošli su minimalne izmjene u usporedbi s ranijim verzijama. Implementirane su neke manje prilagodbe kako bi se poboljšala složenost obrnutog inženjeringa. Dakle, konsenzus je da iako postoje promjene, one su relativno ograničene.
Raznovrsni skup ciljeva uočen u operacijama CatDDoS Botnet napada
U listopadu 2023. većina ciljeva koje je pogodio zlonamjerni softver nalazila se u Kini, a slijede SAD, Japan, Singapur, Francuska, Kanada, UK, Bugarska, Njemačka, Nizozemska i Indija.
Od tada su istraživači uočili pomak fokusa prema zemljama kao što su SAD, Francuska, Njemačka, Brazil i Kina. Ciljevi obuhvaćaju različite industrije, uključujući pružatelje usluga u oblaku, obrazovanje, znanstveno istraživanje, prijenos informacija, javnu upravu i građevinarstvo.
Značajno, uz korištenje ChaCha20 algoritma za šifriranje komunikacije s C2 poslužiteljem, zlonamjerni softver koristi OpenNIC domenu za C2, taktiku koju je ranije koristio drugi DDoS botnet temeljen na Miraiju poznat kao Fodcha. Intrigantno, CatDDoS dijeli isti par ključ/nonce za algoritam ChaCha20 s tri druga DDoS botneta pod nazivom hailBot, VapeBot i Woodman.
