Botnet CatDDoS
I ricercatori che hanno analizzato le botnet DDoS tradizionali più attive hanno segnalato un aumento delle operazioni di attacco da parte di cybergang legate a CatDDoS. Nel corso delle loro indagini gli esperti sono riusciti a confermare che i criminali informatici hanno sfruttato oltre 80 vulnerabilità per compromettere i dispositivi presi di mira nell'arco di soli tre mesi. Inoltre, è stato osservato che il numero massimo di obiettivi supera i 300+ al giorno. L'obiettivo degli aggressori è infiltrarsi nei dispositivi vulnerabili e dirottarli per diventare parte di una botnet per eseguire attacchi DDoS (Distributed Denial of Service).
Sommario
I criminali informatici sfruttano numerose vulnerabilità per diffondere la botnet CatDDoS
Queste vulnerabilità colpiscono un'ampia gamma di dispositivi tra cui router, apparecchiature di rete e altro hardware fornito da vari fornitori come Apache (ActiveMQ, Hadoop, Log4j e RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel e altri. I ricercatori hanno sottolineato che alcune vulnerabilità rimangono non identificate, probabilmente essendo vulnerabilità 0-day in condizioni specifiche.
CatDDoS è basato sulla famigerata botnet Mirai
CatDDoS è esso stesso una variante di Mirai sin dal suo inizio. Il suo nome deriva dall'inclusione di "gatto" e "miao" nei primi nomi di dominio e campioni, indicando un'affinità con i temi felini da parte del suo creatore. Emerse inizialmente nell'agosto 2023, le recenti iterazioni di CatDDoS mostrano alterazioni minime nei metodi di comunicazione rispetto alle versioni precedenti.
Tra i ricercatori si ipotizza che CatDDoS potrebbe essere stato chiuso alla fine dell'anno scorso. Tuttavia, il codice sorgente della minaccia è stato venduto dai suoi creatori oppure è trapelato in modo indipendente. Di conseguenza, sono emerse nuove iterazioni come RebirthLTD, Komaru, Cecilio Network, tra gli altri.
Diversi gruppi di criminali informatici hanno creato le proprie varianti di botnet CatDDoS
Sebbene vari gruppi possano supervisionare diverse iterazioni della botnet CatDDoS, c'è una divergenza minima nella struttura del codice, nei protocolli di comunicazione, nei modelli di stringhe, nelle metodologie di decrittazione e in altri aspetti. Di conseguenza, i ricercatori hanno consolidato queste varianti in un cluster unificato noto come bande legate a CatDDoS.
Tra le varianti attive più recenti ci sono v-2.0.4 (CatDDoS) e v-Rebirth (RebirthLTD), entrambe che utilizzano la crittografia chacha20 per la trasmissione dei dati, con chiavi e nonce identici. La discrepanza risiede nell'utilizzo da parte della versione 2.0.4 del dominio OpenNIC come nome di dominio di comando e controllo (C2). Sebbene RebirthLTD inizialmente utilizzasse il codice originale di Mirai, in seguito è passato al codice base di CatDDoS ed è sottoposto a frequenti aggiornamenti.
In sostanza, i campioni relativi a CatDDoS hanno subito modifiche minime rispetto alle versioni precedenti. Sono state implementate alcune piccole modifiche per aumentare la complessità del reverse engineering. Pertanto, il consenso è che, sebbene i cambiamenti esistano, sono relativamente limitati.
Una serie diversificata di obiettivi osservati nelle operazioni di attacco botnet CatDDoS
A ottobre 2023, la maggior parte degli obiettivi colpiti dal malware erano situati in Cina, seguita da Stati Uniti, Giappone, Singapore, Francia, Canada, Regno Unito, Bulgaria, Germania, Paesi Bassi e India.
Da allora, i ricercatori hanno osservato uno spostamento dell’attenzione verso paesi come Stati Uniti, Francia, Germania, Brasile e Cina. Gli obiettivi abbracciano vari settori, tra cui fornitori di servizi cloud, istruzione, ricerca scientifica, trasmissione di informazioni, pubblica amministrazione ed edilizia.
In particolare, oltre a utilizzare l'algoritmo ChaCha20 per crittografare le comunicazioni con il server C2, il malware utilizza un dominio OpenNIC per C2, una tattica precedentemente utilizzata da un'altra botnet DDoS basata su Mirai nota come Fodcha. Curiosamente, CatDDoS condivide la stessa coppia chiave/nonce per l'algoritmo ChaCha20 con altre tre botnet DDoS denominate hailBot, VapeBot e Woodman.
