CatDDoS Botnet
Forskere som analyserer de mer aktive mainstream DDoS-botnettene har rapportert en økning i angrepsoperasjonen til CatDDoS-relaterte cybergjenger. I løpet av etterforskningen klarte ekspertene å bekrefte at nettkriminelle har utnyttet over 80 sårbarheter for å kompromittere målrettede enheter i løpet av bare tre måneder. I tillegg har det blitt observert at det maksimale antallet mål overstiger 300+ per dag. Målet til angriperne er å infiltrere de sårbare enhetene og kapre dem til å bli en del av et botnett for å utføre distribuert denial-of-service (DDoS)-angrep.
Innholdsfortegnelse
Nettkriminelle misbruker en rekke sårbarheter for å levere CatDDoS-botnettet
Disse sårbarhetene påvirker et bredt spekter av enheter, inkludert rutere, nettverksutstyr og annen maskinvare levert av forskjellige leverandører som Apache (ActiveMQ, Hadoop, Log4j og RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel og andre. Forskere har påpekt at visse sårbarheter forblir uidentifiserte, muligens er 0-dagers sårbarheter under spesifikke forhold.
CatDDoS er basert på det beryktede Mirai Botnet
CatDDoS er i seg selv en variant av Mirai siden starten. Den henter navnet sitt fra inkluderingen av "katt" og "mjau" i tidlige domenenavn og prøver, noe som indikerer en tilhørighet til kattetemaer fra skaperen. Opprinnelig dukket opp i august 2023, nyere iterasjoner av CatDDoS viser minimale endringer i kommunikasjonsmetoder sammenlignet med tidligere versjoner.
Det er spekulasjoner blant forskere om at CatDDoS kan ha blitt stengt i slutten av fjoråret. Likevel ble trusselens kildekode enten solgt av skaperne eller lekket uavhengig. Følgelig har nye iterasjoner som RebirthLTD, Komaru, Cecilio Network, blant andre, dukket opp som et resultat.
Flere nettkriminelle grupper har laget sine egne CatDDoS-botnettvarianter
Mens forskjellige grupper kan overvåke forskjellige iterasjoner av CatDDoS Botnet, er det minimal avvik i kodestruktur, kommunikasjonsprotokoller, strengmønstre, dekrypteringsmetodologier og andre aspekter. Følgelig har forskere konsolidert disse variantene til en enhetlig klynge kjent som CatDDoS-relaterte gjenger.
Blant de nyere aktive variantene er v-2.0.4 (CatDDoS) og v-Rebirth (RebirthLTD), begge bruker chacha20-kryptering for dataoverføring, med identiske nøkler og nonces. Avviket ligger i v-2.0.4s bruk av OpenNIC-domenet som Command-and-Control (C2) domenenavn. Mens RebirthLTD opprinnelig brukte Mirais originale kode, gikk den senere over til CatDDoS sin kodebase og gjennomgår hyppige oppdateringer.
I hovedsak har de CatDDoS-relaterte prøvene gjennomgått minimale endringer sammenlignet med tidligere versjoner. Noen mindre justeringer er implementert for å øke kompleksiteten til omvendt utvikling. Dermed er konsensus at selv om endringer eksisterer, er de relativt begrensede.
Et mangfoldig sett med mål observert i CatDDoS Botnet Attack Operations
Fra oktober 2023 var flertallet av målene som ble rammet av skadelig programvare i Kina, fulgt av USA, Japan, Singapore, Frankrike, Canada, Storbritannia, Bulgaria, Tyskland, Nederland og India.
Siden den gang har forskere observert et skifte i fokus mot land som USA, Frankrike, Tyskland, Brasil og Kina. Målene spenner over ulike bransjer, inkludert skytjenesteleverandører, utdanning, vitenskapelig forskning, informasjonsoverføring, offentlig administrasjon og konstruksjon.
Spesielt, i tillegg til å bruke ChaCha20-algoritmen for å kryptere kommunikasjon med C2-serveren, bruker skadelig programvare et OpenNIC-domene for C2, en taktikk som tidligere ble brukt av et annet Mirai-basert DDoS-botnett kjent som Fodcha. Interessant nok deler CatDDoS det samme nøkkel/nonce-paret for ChaCha20-algoritmen med tre andre DDoS-botnett som heter hailBot, VapeBot og Woodman.
