CatDDoS robotų tinklas
Tyrėjai, analizuojantys aktyvesnius pagrindinius DDoS robotų tinklus, pranešė apie su CatDDoS susijusių kibergangų atakų padidėjimą. Tyrimo metu ekspertai sugebėjo patvirtinti, kad kibernetiniai nusikaltėliai vos per tris mėnesius išnaudojo daugiau nei 80 pažeidžiamumų, kad sukompromituotų tikslinius įrenginius. Be to, didžiausias taikinių skaičius viršija 300 ir daugiau per dieną. Užpuolikų tikslas yra įsiskverbti į pažeidžiamus įrenginius ir užgrobti juos, kad jie taptų botneto, skirto paskirstytoms paslaugų atsisakymo (DDoS) atakoms vykdyti, dalimi.
Turinys
Kibernetiniai nusikaltėliai piktnaudžiauja daugybe pažeidžiamumų, kad pristatytų CatDDoS robotų tinklą
Šios spragos paveikia daugybę įrenginių, įskaitant maršrutizatorius, tinklo įrangą ir kitą aparatinę įrangą, kurią tiekia įvairūs pardavėjai, pvz., Apache (ActiveMQ, Hadoop, Log4j ir RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel ir kt. Tyrėjai atkreipė dėmesį, kad tam tikri pažeidžiamumai lieka nenustatyti, galbūt tam tikromis sąlygomis tai yra 0 dienų pažeidžiamumas.
CatDDoS yra pagrįstas liūdnai pagarsėjusiu Mirai botnetu
Pats „CatDDoS“ yra „Mirai“ variantas nuo pat jo atsiradimo. Jo pavadinimas kilęs iš „katės“ ir „miau“ įtraukimo į ankstyvuosius domenų pavadinimus ir pavyzdžius, nurodančius jo kūrėjo giminingumą kačių temoms. Iš pradžių 2023 m. rugpjūčio mėn. pasirodė naujausios CatDDoS iteracijos, palyginti su ankstesnėmis versijomis, komunikacijos metodų pakeitimų.
Tyrėjai spėlioja, kad CatDDoS galėjo būti uždarytas praėjusių metų pabaigoje. Nepaisant to, grėsmės šaltinio kodą pardavė jos kūrėjai arba jis nutekėjo savarankiškai. Todėl atsirado naujų iteracijų, tokių kaip RebirthLTD, Komaru, Cecilio Network ir kt.
Kelios kibernetinių nusikaltėlių grupės sukūrė savo „CatDDoS Botnet“ variantus
Nors įvairios grupės gali prižiūrėti skirtingas „CatDDoS Botnet“ iteracijas, kodo struktūra, ryšio protokolai, eilučių modeliai, iššifravimo metodikos ir kiti aspektai skiriasi minimaliai. Todėl mokslininkai sujungė šiuos variantus į vieningą klasterį, žinomą kaip su CatDDoS susijusios gaujos.
Tarp naujesnių aktyvių variantų yra v-2.0.4 (CatDDoS) ir v-Rebirth (RebirthLTD), kurie abu naudoja chacha20 šifravimą duomenims perduoti su identiškais raktais ir nenutrūkstamais. Neatitikimas yra 2.0.4 versijos OpenNIC domeno naudojimas kaip komandų ir valdymo (C2) domeno pavadinimas. Nors RebirthLTD iš pradžių naudojo originalų Mirai kodą, vėliau jis perėjo į CatDDoS kodų bazę ir dažnai atnaujinamas.
Iš esmės su „CatDDoS“ susiję pavyzdžiai buvo minimalūs, palyginti su ankstesnėmis versijomis. Siekiant padidinti atvirkštinės inžinerijos sudėtingumą, buvo atlikti keli nedideli pakeitimai. Taigi sutariama, kad nors pokyčiai egzistuoja, jie yra gana riboti.
Įvairių tikslų rinkinys, stebimas atliekant „CatDDoS Botnet“ atakos operacijas
2023 m. spalio mėn. dauguma kenkėjiškų programų taikinių buvo Kinijoje, po to JAV, Japonijoje, Singapūre, Prancūzijoje, Kanadoje, JK, Bulgarijoje, Vokietijoje, Nyderlanduose ir Indijoje.
Nuo tada mokslininkai pastebėjo, kad dėmesys sutelkiamas į tokias šalis kaip JAV, Prancūzija, Vokietija, Brazilija ir Kinija. Tikslai apima įvairias pramonės šakas, įskaitant debesijos paslaugų teikėjus, švietimą, mokslinius tyrimus, informacijos perdavimą, viešąjį administravimą ir statybas.
Pažymėtina, kad be ChaCha20 algoritmo, skirto ryšiui su C2 serveriu šifruoti, kenkėjiška programa naudoja C2 skirtą OpenNIC domeną, taktiką, kurią anksčiau naudojo kitas Mirai pagrįstas DDoS botnetas, žinomas kaip Fodcha. Įdomu tai, kad „CatDDoS“ turi tą pačią „ChaCha20“ algoritmo rakto / nekarto porą su trimis kitais DDoS robotų tinklais, pavadintais „hailBot“, „VapeBot“ ir „Woodman“.
