Botnet CatDDoS
Penyelidik yang menganalisis botnet DDoS arus perdana yang lebih aktif telah melaporkan lonjakan dalam operasi serangan geng siber berkaitan CatDDoS. Semasa siasatan mereka, pakar berjaya mengesahkan bahawa penjenayah siber telah mengeksploitasi lebih 80 kelemahan untuk menjejaskan peranti yang disasarkan dalam tempoh hanya tiga bulan. Selain itu, bilangan maksimum sasaran telah diperhatikan melebihi 300+ sehari. Matlamat penyerang adalah untuk menyusup masuk ke dalam peranti yang terdedah dan merampasnya untuk menjadi sebahagian daripada botnet untuk melakukan serangan distributed denial-of-service (DDoS).
Isi kandungan
Penjenayah Siber Menyalahguna Banyak Kerentanan untuk Menyampaikan Botnet CatDDoS
Kerentanan ini memberi kesan kepada pelbagai peranti termasuk penghala, peralatan rangkaian dan perkakasan lain yang dibekalkan oleh pelbagai vendor seperti Apache (ActiveMQ, Hadoop, Log4j dan RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel dan lain-lain. Penyelidik telah menegaskan bahawa kelemahan tertentu kekal tidak dikenal pasti, mungkin kelemahan 0 hari di bawah keadaan tertentu.
CatDDoS Berasaskan Botnet Mirai Yang Terkenal
CatDDoS sendiri merupakan varian Mirai sejak penubuhannya. Ia memperoleh namanya daripada kemasukan 'kucing' dan 'meow' dalam nama domain awal dan sampel, menunjukkan pertalian terhadap tema kucing oleh penciptanya. Mula-mula muncul pada Ogos 2023, lelaran CatDDoS terkini mempamerkan perubahan minimum dalam kaedah komunikasi berbanding versi terdahulunya.
Terdapat spekulasi di kalangan penyelidik bahawa CatDDoS mungkin telah ditutup lewat tahun lepas. Namun begitu, kod sumber ancaman itu sama ada dijual oleh penciptanya atau dibocorkan secara bebas. Akibatnya, lelaran baharu seperti RebirthLTD, Komaru, Cecilio Network, antara lain, telah muncul sebagai hasilnya.
Beberapa Kumpulan Penjenayah Siber Telah Mencipta Varian Botnet CatDDoS Mereka Sendiri
Walaupun pelbagai kumpulan mungkin mengawasi lelaran CatDDoS Botnet yang berbeza, terdapat perbezaan minimum dalam struktur kod, protokol komunikasi, corak rentetan, metodologi penyahsulitan dan aspek lain. Akibatnya, penyelidik telah menyatukan varian ini ke dalam kelompok bersatu yang dikenali sebagai kumpulan berkaitan CatDDoS.
Antara varian aktif yang lebih terkini ialah v-2.0.4 (CatDDoS) dan v-Rebirth (RebirthLTD), kedua-duanya menggunakan penyulitan chacha20 untuk penghantaran data, dengan kunci dan nonces yang sama. Percanggahan terletak pada penggunaan v-2.0.4 domain OpenNIC sebagai nama domain Command-and-Control (C2). Walaupun RebirthLTD pada mulanya menggunakan kod asal Mirai, ia kemudiannya beralih kepada pangkalan kod CatDDoS dan sedang menjalani kemas kini yang kerap.
Pada dasarnya, sampel yang berkaitan dengan CatDDoS telah mengalami perubahan yang minimum berbanding dengan versi terdahulu. Beberapa pelarasan kecil telah dilaksanakan untuk meningkatkan kerumitan kejuruteraan terbalik. Oleh itu, konsensus ialah walaupun perubahan wujud, ia agak terhad.
Set Pelbagai Sasaran Diperhatikan dalam Operasi Serangan Botnet CatDDoS
Sehingga Oktober 2023, majoriti sasaran yang dilanda perisian hasad terletak di China, diikuti oleh AS, Jepun, Singapura, Perancis, Kanada, UK, Bulgaria, Jerman, Belanda dan India.
Sejak itu, penyelidik telah memerhatikan peralihan tumpuan terhadap negara seperti AS, Perancis, Jerman, Brazil, dan China. Sasaran tersebut merangkumi pelbagai industri, termasuk penyedia perkhidmatan awan, pendidikan, penyelidikan saintifik, penghantaran maklumat, pentadbiran awam dan pembinaan.
Terutama, selain menggunakan algoritma ChaCha20 untuk menyulitkan komunikasi dengan pelayan C2, perisian hasad menggunakan domain OpenNIC untuk C2, taktik yang sebelum ini digunakan oleh botnet DDoS berasaskan Mirai yang lain yang dikenali sebagai Fodcha. Menariknya, CatDDoS berkongsi pasangan kunci/nonce yang sama untuk algoritma ChaCha20 dengan tiga botnet DDoS lain bernama hailBot, VapeBot dan Woodman.
