CatDDoS botnet
Az aktívabb mainstream DDoS botneteket elemző kutatók a CatDDoS-hoz kapcsolódó kibergangok támadási működésének felfutásáról számoltak be. Vizsgálatuk során a szakértőknek sikerült megerősíteniük, hogy a kiberbűnözők mindössze három hónap leforgása alatt több mint 80 sebezhetőséget használtak ki célzott eszközök feltörésére. Ezenkívül a megfigyelések szerint a célpontok maximális száma meghaladja a napi 300-at. A támadók célja az, hogy beszivárogjanak a sebezhető eszközökbe, és eltérítsék őket egy botnet részévé, amely elosztott szolgáltatásmegtagadási (DDoS) támadásokat hajt végre.
Tartalomjegyzék
A kiberbűnözők számos sérülékenységet használnak fel a CatDDoS botnet szállítása érdekében
Ezek a sérülékenységek számos eszközt érintenek, beleértve a routereket, hálózati berendezéseket és egyéb hardvereket, amelyeket különféle gyártók szállítanak, mint például az Apache (ActiveMQ, Hadoop, Log4j és RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel és mások. A kutatók rámutattak, hogy bizonyos sérülékenységek azonosítatlanok maradnak, adott körülmények között valószínűleg 0 napos sérülékenységek.
A CatDDoS a hírhedt Mirai botneten alapul
A CatDDoS maga a Mirai egyik változata a kezdetektől fogva. Nevét onnan kapta, hogy a „cat” és a „meow” szerepel a korai domainnevekben és mintákban, jelezve, hogy alkotója a macskafajták iránti affinitást mutat. A CatDDoS legújabb iterációi, amelyek kezdetben 2023 augusztusában jelentek meg, minimális változást mutatnak a kommunikációs módszerekben a korábbi verziókhoz képest.
A kutatók azt feltételezik, hogy a CatDDoS-t tavaly év végén leállították. Ennek ellenére a fenyegetés forráskódját vagy eladták a készítői, vagy egymástól függetlenül kiszivárogtatták. Ennek eredményeként többek között új iterációk jelentek meg, mint például a RebirthLTD, a Komaru, a Cecilio Network.
Számos kiberbűnözői csoport létrehozta saját CatDDoS botnet változatát
Míg a különböző csoportok felügyelhetik a CatDDoS Botnet különböző iterációit, minimális eltérés van a kódstruktúra, a kommunikációs protokollok, a karakterlánc-minták, a visszafejtési módszerek és más szempontok tekintetében. Következésképpen a kutatók ezeket a változatokat egy egységes klaszterbe tömörítették, amelyet CatDDoS-hez kapcsolódó bandáknak neveznek.
Az újabb aktív változatok közé tartozik a v-2.0.4 (CatDDoS) és a v-Rebirth (RebirthLTD), amelyek egyaránt chacha20 titkosítást alkalmaznak az adatátvitelhez, azonos kulcsokkal és nonce-ekkel. Az eltérés abban rejlik, hogy a v-2.0.4 az OpenNIC tartományt használja Command-and-Control (C2) tartománynévként. Míg a RebirthLTD kezdetben a Mirai eredeti kódját használta, később áttért a CatDDoS kódbázisára, és gyakran frissül.
Lényegében a CatDDoS-hez kapcsolódó minták minimális változtatásokon mentek keresztül a korábbi verziókhoz képest. Néhány kisebb módosítást hajtottak végre a visszafejtés összetettségének növelése érdekében. Így a konszenzus az, hogy bár vannak változások, azok viszonylag korlátozottak.
A CatDDoS botnet támadási műveletei során megfigyelt célok változatos halmaza
2023 októberében a kártevő által sújtott célpontok többsége Kínában volt, ezt követte az Egyesült Államok, Japán, Szingapúr, Franciaország, Kanada, az Egyesült Királyság, Bulgária, Németország, Hollandia és India.
Azóta a kutatók figyelemfelkeltést figyeltek meg olyan országok felé, mint az Egyesült Államok, Franciaország, Németország, Brazília és Kína. A célok különböző iparágakra terjednek ki, beleértve a felhőszolgáltatókat, az oktatást, a tudományos kutatást, az információtovábbítást, a közigazgatást és az építőiparot.
Nevezetesen, amellett, hogy a ChaCha20 algoritmust használja a C2 szerverrel folytatott kommunikáció titkosítására, a rosszindulatú program egy OpenNIC tartományt használ a C2 számára, ezt a taktikát korábban egy másik Mirai-alapú DDoS botnet használt, Fodcha néven. Érdekes módon a CatDDoS ugyanazon a kulcs/nem egyszer páron osztozik a ChaCha20 algoritmushoz három másik DDoS botnettel, a hailBot, a VapeBot és a Woodman néven.
