CatDDoS Ботнет
Исследователи, анализирующие наиболее активные массовые DDoS-ботнеты, сообщили о всплеске атак кибергруппировок, связанных с CatDDoS. В ходе расследования экспертам удалось подтвердить, что всего за три месяца киберпреступники использовали более 80 уязвимостей для компрометации целевых устройств. Кроме того, было замечено, что максимальное количество целей превышает 300+ в день. Цель злоумышленников — проникнуть на уязвимые устройства и похитить их, чтобы они стали частью ботнета для проведения распределенных атак типа «отказ в обслуживании» (DDoS).
Оглавление
Киберпреступники злоупотребляют многочисленными уязвимостями для доставки ботнета CatDDoS
Эти уязвимости затрагивают широкий спектр устройств, включая маршрутизаторы, сетевое оборудование и другое оборудование, поставляемое различными поставщиками, такими как Apache (ActiveMQ, Hadoop, Log4j и RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel и другие. Исследователи отметили, что некоторые уязвимости остаются неидентифицированными, возможно, при определенных условиях они являются уязвимостями нулевого дня.
CatDDoS основан на печально известном ботнете Mirai
CatDDoS сам по себе является вариантом Mirai с момента его создания. Он получил свое название от включения слов «кошка» и «мяу» в ранние доменные имена и образцы, что указывает на близость его создателя к кошачьим темам. Последние версии CatDDoS, впервые появившиеся в августе 2023 года, демонстрируют минимальные изменения в методах связи по сравнению с более ранними версиями.
Среди исследователей ходят предположения, что CatDDoS мог быть закрыт в конце прошлого года. Тем не менее исходный код угрозы был либо продан ее создателями, либо попал в независимую утечку. В результате появились новые версии, такие как RebirthLTD, Komaru, Cecilio Network и другие.
Несколько киберпреступных группировок создали собственные варианты ботнета CatDDoS
Хотя разные группы могут контролировать разные версии ботнета CatDDoS, различия в структуре кода, протоколах связи, шаблонах строк, методологиях дешифрования и других аспектах минимальны. В результате исследователи объединили эти варианты в единый кластер, известный как банды, связанные с CatDDoS.
Среди более поздних активных вариантов — v-2.0.4 (CatDDoS) и v-Rebirth (RebirthLTD), оба используют шифрование chacha20 для передачи данных с идентичными ключами и одноразовыми номерами. Несоответствие заключается в том, что версия 2.0.4 использует домен OpenNIC в качестве имени домена управления и контроля (C2). Хотя RebirthLTD изначально использовала оригинальный код Mirai, позже он перешел на кодовую базу CatDDoS и постоянно обновляется.
По сути, образцы, связанные с CatDDoS, претерпели минимальные изменения по сравнению с более ранними версиями. Внесены некоторые незначительные изменения для повышения сложности обратного проектирования. Таким образом, все согласны с тем, что, хотя изменения и существуют, они относительно ограничены.
Разнообразный набор целей, наблюдаемых в ходе атак ботнета CatDDoS
По состоянию на октябрь 2023 года большинство целей, пораженных вредоносным ПО, находились в Китае, за ним следовали США, Япония, Сингапур, Франция, Канада, Великобритания, Болгария, Германия, Нидерланды и Индия.
С тех пор исследователи заметили смещение акцента в сторону таких стран, как США, Франция, Германия, Бразилия и Китай. Цели охватывают различные отрасли, включая поставщиков облачных услуг, образование, научные исследования, передачу информации, государственное управление и строительство.
Примечательно, что помимо использования алгоритма ChaCha20 для шифрования связи с сервером C2, вредоносное ПО использует домен OpenNIC для C2 — тактика, ранее использовавшаяся другим DDoS-ботнетом на базе Mirai, известным как Fodcha. Любопытно, что CatDDoS использует одну и ту же пару ключ/нонс для алгоритма ChaCha20 с тремя другими DDoS-ботнетами, названными hailBot, VapeBot и Woodman.
