CatDDoS Botnet
Cercetătorii care analizează rețelele botnet DDoS mainstream mai active au raportat o creștere a operațiunii de atac a cybergang-urilor legate de CatDDoS. În cursul investigației lor, experții au reușit să confirme că infractorii cibernetici au exploatat peste 80 de vulnerabilități pentru a compromite dispozitivele vizate în doar trei luni. În plus, s-a observat că numărul maxim de ținte depășește 300+ pe zi. Scopul atacatorilor este să se infiltreze în dispozitivele vulnerabile și să le deturneze pentru a deveni parte dintr-o rețea bot pentru a desfășura atacuri distribuite de refuzare a serviciului (DDoS).
Cuprins
Criminalii cibernetici abuzează de numeroase vulnerabilități pentru a furniza botnetul CatDDoS
Aceste vulnerabilități afectează o gamă largă de dispozitive, inclusiv routere, echipamente de rețea și alt hardware furnizat de diverși furnizori precum Apache (ActiveMQ, Hadoop, Log4j și RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel și altele. Cercetătorii au subliniat că anumite vulnerabilități rămân neidentificate, posibil fiind vulnerabilități de zi 0 în condiții specifice.
CatDDoS se bazează pe infamul Mirai Botnet
CatDDoS este în sine o variantă a Mirai încă de la începuturile sale. Numele își derivă din includerea „pisica” și „miau” în nume de domenii și mostre timpurii, indicând o afinitate față de temele feline a creatorului său. Apărând inițial în august 2023, iterațiile recente ale CatDDoS prezintă modificări minime în metodele de comunicare în comparație cu versiunile sale anterioare.
Există speculații printre cercetători că CatDDoS ar fi putut fi închis la sfârșitul anului trecut. Cu toate acestea, codul sursă al amenințării a fost fie vândut de creatorii săi, fie scurs independent. În consecință, au apărut noi iterații precum RebirthLTD, Komaru, Cecilio Network, printre altele.
Mai multe grupuri de criminali cibernetici și-au creat propriile variante de botnet CatDDoS
În timp ce diferite grupuri pot supraveghea diferite iterații ale CatDDoS Botnet, există divergențe minime în structura codului, protocoalele de comunicare, modelele de șiruri, metodologiile de decriptare și alte aspecte. În consecință, cercetătorii au consolidat aceste variante într-un cluster unificat cunoscut sub numele de bandele legate de CatDDoS.
Printre variantele active mai recente se numără v-2.0.4 (CatDDoS) și v-Rebirth (RebirthLTD), ambele utilizând criptare chacha20 pentru transmiterea datelor, cu chei și nonces identice. Discrepanța constă în utilizarea de către v-2.0.4 a domeniului OpenNIC ca nume de domeniu Command-and-Control (C2). În timp ce RebirthLTD a folosit inițial codul original al lui Mirai, ulterior a trecut la baza de cod a CatDDoS și este supus actualizărilor frecvente.
În esență, mostrele legate de CatDDoS au suferit modificări minime în comparație cu versiunile anterioare. Au fost implementate unele ajustări minore pentru a spori complexitatea ingineriei inverse. Astfel, consensul este că, deși există schimbări, acestea sunt relativ limitate.
Un set divers de ținte observate în operațiunile de atac CatDDoS Botnet
Începând cu octombrie 2023, majoritatea țintelor afectate de malware erau situate în China, urmate de SUA, Japonia, Singapore, Franța, Canada, Regatul Unit, Bulgaria, Germania, Țările de Jos și India.
De atunci, cercetătorii au observat o schimbare a atenției către țări precum SUA, Franța, Germania, Brazilia și China. Țintele acoperă diverse industrii, inclusiv furnizorii de servicii cloud, educație, cercetare științifică, transmitere de informații, administrație publică și construcții.
În special, pe lângă utilizarea algoritmului ChaCha20 pentru criptarea comunicațiilor cu serverul C2, malware-ul utilizează un domeniu OpenNIC pentru C2, o tactică utilizată anterior de un alt botnet DDoS bazat pe Mirai, cunoscut sub numele de Fodcha. În mod intrigant, CatDDoS împărtășește aceeași pereche cheie/nonce pentru algoritmul ChaCha20 cu alte trei botnet-uri DDoS numite hailBot, VapeBot și Woodman.
