Botnet CatDDoS
Badacze analizujący bardziej aktywne botnety DDoS głównego nurtu odnotowali gwałtowny wzrost liczby ataków cybergangów powiązanych z CatDDoS. W trakcie dochodzenia ekspertom udało się potwierdzić, że cyberprzestępcy w ciągu zaledwie trzech miesięcy wykorzystali ponad 80 luk w zabezpieczeniach, aby włamać się do docelowych urządzeń. Ponadto zaobserwowano, że maksymalna liczba celów przekracza ponad 300 dziennie. Celem atakujących jest infiltracja wrażliwych urządzeń i porwanie ich, aby stać się częścią botnetu przeprowadzającego ataki rozproszonej odmowy usługi (DDoS).
Spis treści
Cyberprzestępcy wykorzystują liczne luki w zabezpieczeniach, aby stworzyć botnet CatDDoS
Luki te wpływają na szeroką gamę urządzeń, w tym routery, sprzęt sieciowy i inny sprzęt dostarczany przez różnych dostawców, takich jak Apache (ActiveMQ, Hadoop, Log4j i RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel i inne. Badacze wskazali, że niektóre luki pozostają niezidentyfikowane i w określonych warunkach mogą to być luki typu 0-day.
CatDDoS opiera się na niesławnym botnecie Mirai
CatDDoS sam w sobie jest odmianą Mirai od samego początku. Swoją nazwę wywodzi od włączenia słów „cat” i „miau” do wczesnych nazw domen i próbek, co wskazuje na zamiłowanie twórcy do motywów kocich. Najnowsze wersje CatDDoS, które pojawiły się po raz pierwszy w sierpniu 2023 r., wykazują minimalne zmiany w metodach komunikacji w porównaniu z jego wcześniejszymi wersjami.
Wśród badaczy spekuluje się, że CatDDoS mógł zostać zamknięty pod koniec ubiegłego roku. Niemniej jednak kod źródłowy zagrożenia został albo sprzedany przez jego twórców, albo wyciekł niezależnie. W rezultacie pojawiły się między innymi nowe iteracje, takie jak RebirthLTD, Komaru, Cecilio Network.
Kilka grup cyberprzestępczych stworzyło własne warianty botnetu CatDDoS
Chociaż różne grupy mogą nadzorować różne iteracje botnetu CatDDoS, różnice w strukturze kodu, protokołach komunikacyjnych, wzorach ciągów znaków, metodologiach deszyfrowania i innych aspektach są minimalne. W rezultacie badacze skonsolidowali te warianty w jednolity klaster znany jako gangi powiązane z CatDDoS.
Do nowszych aktywnych wariantów należą v-2.0.4 (CatDDoS) i v-Rebirth (RebirthLTD), oba wykorzystujące szyfrowanie chacha20 do transmisji danych, z identycznymi kluczami i identyfikatorami jednorazowymi. Rozbieżność polega na wykorzystaniu domeny OpenNIC w wersji 2.0.4 jako nazwy domeny Command and Control (C2). Chociaż RebirthLTD początkowo korzystało z oryginalnego kodu Mirai, później przeszło do bazy kodu CatDDoS i jest poddawane częstym aktualizacjom.
Zasadniczo próbki związane z CatDDoS przeszły minimalne zmiany w porównaniu do wcześniejszych wersji. Wprowadzono pewne drobne poprawki, aby zwiększyć złożoność inżynierii odwrotnej. Zatem panuje zgoda co do tego, że chociaż zmiany istnieją, są one stosunkowo ograniczone.
Zróżnicowany zestaw celów zaobserwowany w operacjach ataku na botnet CatDDoS
Według stanu na październik 2023 r. większość celów atakowanych przez szkodliwe oprogramowanie znajdowała się w Chinach, a następnie w USA, Japonii, Singapurze, Francji, Kanadzie, Wielkiej Brytanii, Bułgarii, Niemczech, Holandii i Indiach.
Od tego czasu badacze zaobserwowali przesunięcie uwagi w kierunku takich krajów, jak USA, Francja, Niemcy, Brazylia i Chiny. Cele obejmują różne branże, w tym dostawców usług w chmurze, edukację, badania naukowe, transmisję informacji, administrację publiczną i budownictwo.
Warto zauważyć, że oprócz wykorzystania algorytmu ChaCha20 do szyfrowania komunikacji z serwerem C2, szkodliwe oprogramowanie wykorzystuje domenę OpenNIC dla C2, co jest taktyką stosowaną wcześniej przez inny botnet DDoS oparty na Mirai, znany jako Fodcha. Co ciekawe, CatDDoS ma tę samą parę klucz/nonce dla algorytmu ChaCha20 z trzema innymi botnetami DDoS o nazwach hailBot, VapeBot i Woodman.
