CatDDoS-botnet
Onderzoekers die de actievere reguliere DDoS-botnets analyseren, hebben een toename van de aanvalsoperaties van CatDDoS-gerelateerde cyberbendes gemeld. In de loop van hun onderzoek zijn de experts erin geslaagd te bevestigen dat de cybercriminelen in slechts drie maanden tijd meer dan 80 kwetsbaarheden hebben misbruikt om gerichte apparaten te compromitteren. Bovendien is waargenomen dat het maximale aantal doelen meer dan 300 per dag bedraagt. Het doel van de aanvallers is om de kwetsbare apparaten te infiltreren en deze te kapen zodat ze onderdeel worden van een botnet voor het uitvoeren van gedistribueerde denial-of-service (DDoS)-aanvallen.
Inhoudsopgave
Cybercriminelen misbruiken talloze kwetsbaarheden om het CatDDoS-botnet te leveren
Deze kwetsbaarheden zijn van invloed op een breed scala aan apparaten, waaronder routers, netwerkapparatuur en andere hardware die wordt geleverd door verschillende leveranciers zoals Apache (ActiveMQ, Hadoop, Log4j en RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel en anderen. Onderzoekers hebben erop gewezen dat bepaalde kwetsbaarheden ongeïdentificeerd blijven en onder specifieke omstandigheden mogelijk ‘0-day’-kwetsbaarheden zijn.
CatDDoS is gebaseerd op het beruchte Mirai Botnet
CatDDoS is zelf een variant van Mirai sinds het begin. Het ontleent zijn naam aan de opname van 'kat' en 'miauw' in vroege domeinnamen en voorbeelden, wat duidt op een affiniteit met katachtige thema's door de maker. Recente versies van CatDDoS, die voor het eerst in augustus 2023 aan de oppervlakte kwamen, vertonen minimale wijzigingen in de communicatiemethoden vergeleken met de eerdere versies.
Er wordt onder onderzoekers gespeculeerd dat CatDDoS eind vorig jaar mogelijk is gesloten. Niettemin werd de broncode van de dreiging ofwel verkocht door de makers ervan, ofwel onafhankelijk gelekt. Als gevolg hiervan zijn onder meer nieuwe iteraties zoals RebirthLTD, Komaru en Cecilio Network ontstaan.
Verschillende cybercriminele groepen hebben hun eigen CatDDoS-botnetvarianten gemaakt
Hoewel verschillende groepen toezicht kunnen houden op verschillende iteraties van het CatDDoS Botnet, zijn er minimale verschillen in codestructuur, communicatieprotocollen, tekenreekspatronen, decoderingsmethodologieën en andere aspecten. Daarom hebben onderzoekers deze varianten geconsolideerd in een verenigd cluster dat bekend staat als de CatDDoS-gerelateerde bendes.
Tot de recentere actieve varianten behoren v-2.0.4 (CatDDoS) en v-Rebirth (RebirthLTD), beide gebruikmakend van chacha20-codering voor gegevensoverdracht, met identieke sleutels en nonces. De discrepantie ligt in het gebruik door v-2.0.4 van het OpenNIC-domein als Command-and-Control (C2)-domeinnaam. Terwijl RebirthLTD aanvankelijk de originele code van Mirai gebruikte, is deze later overgestapt naar de codebasis van CatDDoS en ondergaat deze regelmatig updates.
In essentie hebben de CatDDoS-gerelateerde samples minimale wijzigingen ondergaan vergeleken met eerdere versies. Er zijn enkele kleine aanpassingen doorgevoerd om de complexiteit van reverse engineering te vergroten. De consensus is dus dat er weliswaar veranderingen bestaan, maar dat deze relatief beperkt zijn.
Een gevarieerde reeks doelen die worden waargenomen tijdens de CatDDoS Botnet-aanvalsoperaties
Vanaf oktober 2023 bevonden de meeste doelwitten die door de malware werden getroffen zich in China, gevolgd door de VS, Japan, Singapore, Frankrijk, Canada, het VK, Bulgarije, Duitsland, Nederland en India.
Sindsdien hebben onderzoekers een verschuiving in de focus waargenomen naar landen als de VS, Frankrijk, Duitsland, Brazilië en China. De doelstellingen omvatten verschillende sectoren, waaronder aanbieders van clouddiensten, onderwijs, wetenschappelijk onderzoek, informatieoverdracht, openbaar bestuur en de bouw.
Naast het gebruik van het ChaCha20-algoritme voor het versleutelen van de communicatie met de C2-server, gebruikt de malware met name een OpenNIC-domein voor C2, een tactiek die eerder werd gebruikt door een ander op Mirai gebaseerd DDoS-botnet, bekend als Fodcha. Intrigerend genoeg deelt CatDDoS hetzelfde sleutel/nonce-paar voor het ChaCha20-algoritme met drie andere DDoS-botnets genaamd hailBot, VapeBot en Woodman.
