CatDDoS Botnet
Os pesquisadores que analisaram os botnets DDoS mais ativos relataram um aumento na operação de ataque de gangues cibernéticas relacionadas ao CatDDoS. No decorrer da investigação, os especialistas conseguiram confirmar que os cibercriminosos exploraram mais de 80 vulnerabilidades para comprometer os dispositivos visados no espaço de apenas três meses. Além disso, observou-se que o número máximo de alvos excede 300+ por dia. O objetivo dos invasores é infiltrar-se nos dispositivos vulneráveis e sequestrá-los para que se tornem parte de uma botnet para realizar ataques distribuídos de negação de serviço (DDoS).
Índice
Os Cibercriminosos Abusam de Inúmeras Vulnerabilidades para Entregar o CatDDo Botnet
Essas vulnerabilidades afetam uma ampla variedade de dispositivos, incluindo roteadores, equipamentos de rede e outros hardwares fornecidos por vários fornecedores, como Apache (ActiveMQ, Hadoop, Log4j e RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel e outros. Os pesquisadores apontaram que certas vulnerabilidades permanecem não identificadas, possivelmente sendo vulnerabilidades de dia 0 sob condições específicas.
O CatDDoS Baseado no Infame Mirai Botnet
O próprio CatDDoS é uma variante do Mirai desde o seu início. Seu nome deriva da inclusão de 'gato' e 'miau' nos primeiros nomes de domínio e amostras, indicando uma afinidade com temas felinos por parte de seu criador. Surgindo inicialmente em agosto de 2023, as iterações recentes do CatDDoS exibem alterações mínimas nos métodos de comunicação em comparação com suas versões anteriores.
Há especulações entre os pesquisadores de que o CatDDoS pode ter sido encerrado no final do ano passado. No entanto, o código-fonte da ameaça foi vendido pelos seus criadores ou vazado de forma independente. Consequentemente, novas iterações como RebirthLTD, Komaru, Cecilio Network, entre outras, surgiram como resultado.
Vários Grupos de Cibercriminosos Criaram Suas Próprias Variantes do CatDDoS Botnet
Embora vários grupos possam supervisionar diferentes iterações do Botnet CatDDoS, há divergência mínima na estrutura do código, protocolos de comunicação, padrões de string, metodologias de descriptografia e outros aspectos. Consequentemente, os investigadores consolidaram estas variantes num cluster unificado conhecido como gangues relacionadas com CatDDoS.
Entre as variantes ativas mais recentes estão v-2.0.4 (CatDDoS) e v-Rebirth (RebirthLTD), ambas empregando criptografia chacha20 para transmissão de dados, com chaves e nonces idênticos. A discrepância está na utilização do domínio OpenNIC pela v-2.0.4 como seu nome de domínio Command-and-Control (C2). Embora o RebirthLTD inicialmente utilizasse o código original do Mirai, mais tarde ele fez a transição para a base de código do CatDDoS e está passando por atualizações frequentes.
Em essência, as amostras relacionadas ao CatDDoS sofreram alterações mínimas em comparação com as versões anteriores. Alguns pequenos ajustes foram implementados para aumentar a complexidade da engenharia reversa. Assim, o consenso é que, embora existam mudanças, elas são relativamente limitadas.
Um Conjunto Diversificado de Alvos Observados nas Operações de Ataque do CatDDoS Botnet
Em outubro de 2023, a maioria dos alvos atingidos pelo malware estavam situados na China, seguida pelos EUA, Japão, Singapura, França, Canadá, Reino Unido, Bulgária, Alemanha, Holanda e Índia.
Desde então, os investigadores observaram uma mudança de foco em países como os EUA, França, Alemanha, Brasil e China. As metas abrangem vários setores, incluindo provedores de serviços em nuvem, educação, pesquisa científica, transmissão de informações, administração pública e construção.
Notavelmente, além de empregar o algoritmo ChaCha20 para criptografar as comunicações com o servidor C2, o malware utiliza um domínio OpenNIC para C2, uma tática anteriormente utilizada por outro botnet DDoS baseado em Mirai, conhecido como Fodcha. Curiosamente, CatDDoS compartilha o mesmo par chave/nonce para o algoritmo ChaCha20 com três outras botnets DDoS chamadas hailBot, VapeBot e Woodman.
