CatDDoS Botnet

ក្រុមអ្នកស្រាវជ្រាវដែលវិភាគទៅលើ DDoS botnets ដែលសកម្មជាងនេះ បានរាយការណ៍ពីការកើនឡើងនៃប្រតិបត្តិការវាយប្រហាររបស់ CatDDoS ដែលទាក់ទងនឹង cybergangs ។ នៅក្នុងវគ្គនៃការស៊ើបអង្កេតរបស់ពួកគេ អ្នកជំនាញបានគ្រប់គ្រងដើម្បីបញ្ជាក់ថា ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបានទាញយកភាពងាយរងគ្រោះជាង 80 ដើម្បីសម្របសម្រួលឧបករណ៍គោលដៅក្នុងរយៈពេលត្រឹមតែ 3 ខែប៉ុណ្ណោះ។ លើសពីនេះទៀតចំនួនអតិបរមានៃគោលដៅត្រូវបានគេសង្កេតឃើញលើសពី 300+ ក្នុងមួយថ្ងៃ។ គោលដៅរបស់អ្នកវាយប្រហារគឺដើម្បីជ្រៀតចូលឧបករណ៍ដែលងាយរងគ្រោះ ហើយលួចពួកវាឱ្យក្លាយជាផ្នែកនៃ botnet សម្រាប់អនុវត្តការវាយប្រហារចែកចាយការបដិសេធសេវាកម្ម (DDoS) ។

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបំពានភាពងាយរងគ្រោះជាច្រើនដើម្បីចែកចាយ CatDDoS Botnet

ភាពងាយរងគ្រោះទាំងនេះប៉ះពាល់ដល់ឧបករណ៍ជាច្រើនរួមទាំងរ៉ោតទ័រ ឧបករណ៍បណ្តាញ និងផ្នែករឹងផ្សេងទៀតដែលផ្គត់ផ្គង់ដោយអ្នកលក់ផ្សេងៗដូចជា Apache (ActiveMQ, Hadoop, Log4j, និង RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel និងផ្សេងៗទៀត។ អ្នកស្រាវជ្រាវបានចង្អុលបង្ហាញថា ភាពងាយរងគ្រោះមួយចំនួននៅតែមិនស្គាល់អត្តសញ្ញាណ ដែលអាចជាភាពងាយរងគ្រោះ 0-day ក្រោមលក្ខខណ្ឌជាក់លាក់។

CatDDoS ផ្អែកលើ Mirai Botnet ដ៏ល្បីល្បាញ

CatDDoS គឺជាបំរែបំរួលរបស់ Mirai ចាប់តាំងពីការចាប់ផ្តើមរបស់វា។ វាទទួលបានឈ្មោះរបស់វាពីការរួមបញ្ចូល 'ឆ្មា' និង 'meow' នៅក្នុងឈ្មោះដែនដំបូង និងគំរូដែលបង្ហាញពីភាពស្និទ្ធស្នាលចំពោះស្បែកសត្វដោយអ្នកបង្កើតរបស់វា។ ការលេចចេញជាដំបូងនៅក្នុងខែសីហា ឆ្នាំ 2023 ការធ្វើម្តងទៀតថ្មីៗនៃ CatDDoS បង្ហាញពីការផ្លាស់ប្តូរតិចតួចបំផុតនៅក្នុងវិធីសាស្រ្តទំនាក់ទំនងបើប្រៀបធៀបទៅនឹងកំណែមុនរបស់វា។

មានការរំពឹងទុកក្នុងចំណោមអ្នកស្រាវជ្រាវដែលថា CatDDoS ប្រហែលជាត្រូវបានបិទកាលពីចុងឆ្នាំមុន។ ទោះយ៉ាងណាក៏ដោយ កូដប្រភពនៃការគំរាមកំហែងត្រូវបានលក់ដោយអ្នកបង្កើតរបស់វា ឬបែកធ្លាយដោយឯករាជ្យ។ ហេតុដូច្នេះ ការកើតឡើងម្តងទៀតដូចជា RebirthLTD, Komaru, Cecilio Network ក្នុងចំណោមលទ្ធផលផ្សេងទៀត បានលេចចេញជាលទ្ធផល។

ក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតជាច្រើនបានបង្កើត CatDDoS Botnet Variants ផ្ទាល់ខ្លួនរបស់ពួកគេ

ខណៈពេលដែលក្រុមផ្សេងៗអាចមើលការខុសត្រូវផ្សេងគ្នានៃ CatDDoS Botnet មានភាពខុសប្លែកគ្នាតិចតួចនៅក្នុងរចនាសម្ព័ន្ធកូដ ពិធីការទំនាក់ទំនង គំរូខ្សែអក្សរ វិធីសាស្ត្រឌិគ្រីប និងទិដ្ឋភាពផ្សេងទៀត។ អាស្រ័យហេតុនេះ អ្នកស្រាវជ្រាវបានបង្រួបបង្រួមបំរែបំរួលទាំងនេះទៅក្នុងចង្កោមបង្រួបបង្រួមដែលគេស្គាល់ថាជាក្រុមដែលទាក់ទងនឹង CatDDoS ។

ក្នុងចំណោមវ៉ារ្យ៉ង់សកម្មថ្មីៗជាងនេះគឺ v-2.0.4 (CatDDoS) និង v-Rebirth (RebirthLTD) ទាំងពីរប្រើការអ៊ិនគ្រីប chacha20 សម្រាប់ការបញ្ជូនទិន្នន័យ ដោយមានសោដូចគ្នា និង nonces ។ ភាពខុសគ្នាស្ថិតនៅក្នុងការប្រើប្រាស់ v-2.0.4 នៃដែន OpenNIC ជាឈ្មោះដែន Command-and-Control (C2) របស់វា។ ខណៈពេលដែល RebirthLTD ដំបូងបានប្រើប្រាស់កូដដើមរបស់ Mirai ក្រោយមកវាបានប្តូរទៅជា codebase របស់ CatDDoS ហើយកំពុងធ្វើការអាប់ដេតជាញឹកញាប់។

នៅក្នុងខ្លឹមសារ គំរូដែលទាក់ទងនឹង CatDDoS បានឆ្លងកាត់ការកែប្រែតិចតួច បើប្រៀបធៀបទៅនឹងកំណែមុនៗ។ ការកែតម្រូវតិចតួចមួយចំនួនត្រូវបានអនុវត្តដើម្បីបង្កើនភាពស្មុគស្មាញនៃវិស្វកម្មបញ្ច្រាស។ ដូច្នេះ ការយល់ស្របគឺថា ទោះបីជាមានការផ្លាស់ប្តូរក៏ដោយ វាមានកម្រិតតិចតួច។

សំណុំនៃគោលដៅចម្រុះត្រូវបានអង្កេតនៅក្នុងប្រតិបត្តិការ CatDDoS Botnet Attack

គិតត្រឹមខែតុលា ឆ្នាំ 2023 គោលដៅភាគច្រើនដែលវាយប្រហារដោយមេរោគគឺស្ថិតនៅក្នុងប្រទេសចិន បន្ទាប់មកគឺសហរដ្ឋអាមេរិក ជប៉ុន សិង្ហបុរី បារាំង កាណាដា ចក្រភពអង់គ្លេស ប៊ុលហ្គារី អាល្លឺម៉ង់ ហូឡង់ និងឥណ្ឌា។

ចាប់តាំងពីពេលនោះមក អ្នកស្រាវជ្រាវបានសង្កេតឃើញការផ្លាស់ប្តូរការផ្តោតអារម្មណ៍ឆ្ពោះទៅរកប្រទេសដូចជាសហរដ្ឋអាមេរិក បារាំង អាល្លឺម៉ង់ ប្រេស៊ីល និងចិន។ គោលដៅមានវិសាលភាពលើឧស្សាហកម្មផ្សេងៗ រួមទាំងអ្នកផ្តល់សេវាពពក ការអប់រំ ការស្រាវជ្រាវវិទ្យាសាស្ត្រ ការបញ្ជូនព័ត៌មាន រដ្ឋបាលសាធារណៈ និងសំណង់។

គួរកត់សម្គាល់ថា បន្ថែមពីលើការប្រើក្បួនដោះស្រាយ ChaCha20 សម្រាប់ការអ៊ិនគ្រីបការប្រាស្រ័យទាក់ទងជាមួយម៉ាស៊ីនមេ C2 មេរោគនេះប្រើប្រាស់ដែន OpenNIC សម្រាប់ C2 ដែលជាយុទ្ធសាស្ត្រមួយដែលបានប្រើប្រាស់ពីមុនដោយ botnet DDoS ដែលមានមូលដ្ឋាននៅ Mirai មួយផ្សេងទៀតដែលគេស្គាល់ថា Fodcha ។ គួរឱ្យចាប់អារម្មណ៍ CatDDoS ចែករំលែកកូនសោដូចគ្នា / nonce សម្រាប់ក្បួនដោះស្រាយ ChaCha20 ជាមួយ botnets DDoS បីផ្សេងទៀតដែលមានឈ្មោះថា hailBot, VapeBot និង Woodman ។