Botnet CatDDoS
Výskumníci analyzujúci aktívnejšie mainstreamové DDoS botnety hlásili prudký nárast útočných operácií kybergangov súvisiacich s CatDDoS. V priebehu vyšetrovania sa expertom podarilo potvrdiť, že kyberzločinci v priebehu troch mesiacov zneužili viac ako 80 zraniteľností na kompromitáciu cieľových zariadení. Okrem toho sa zistilo, že maximálny počet cieľov presahuje 300+ za deň. Cieľom útočníkov je infiltrovať zraniteľné zariadenia a uniesť ich, aby sa stali súčasťou botnetu na vykonávanie distribuovaných útokov odmietnutia služby (DDoS).
Obsah
Kyberzločinci zneužívajú množstvo zraniteľností na poskytovanie botnetu CatDDoS
Tieto zraniteľnosti ovplyvňujú širokú škálu zariadení vrátane smerovačov, sieťových zariadení a ďalšieho hardvéru dodávaného rôznymi dodávateľmi, ako sú Apache (ActiveMQ, Hadoop, Log4j a RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel a ďalšie. Výskumníci poukázali na to, že určité zraniteľnosti zostávajú neidentifikované, pričom za špecifických podmienok môžu byť zraniteľnosti 0 dní.
CatDDoS je založený na neslávne známom botnete Mirai
CatDDoS je sám o sebe variantom Mirai od jeho počiatku. Svoj názov odvodzuje od zahrnutia výrazov „mačka“ a „mňau“ do skorých názvov domén a vzoriek, čo naznačuje afinitu svojho tvorcu k mačacím témam. Nedávne iterácie CatDDoS, ktoré sa pôvodne objavili v auguste 2023, vykazujú minimálne zmeny v komunikačných metódach v porovnaní s predchádzajúcimi verziami.
Medzi výskumníkmi existujú špekulácie, že CatDDoS mohol byť vypnutý koncom minulého roka. Napriek tomu zdrojový kód hrozby buď predali jej tvorcovia, alebo unikol nezávisle. V dôsledku toho sa objavili nové iterácie ako RebirthLTD, Komaru, Cecilio Network, medzi inými.
Niekoľko skupín kyberzločincov si vytvorilo svoje vlastné varianty botnetu CatDDoS
Zatiaľ čo rôzne skupiny môžu dohliadať na rôzne iterácie botnetu CatDDoS, existujú minimálne rozdiely v štruktúre kódu, komunikačných protokoloch, vzorcoch reťazcov, metodológiách dešifrovania a ďalších aspektoch. V dôsledku toho výskumníci konsolidovali tieto varianty do zjednoteného klastra známeho ako gangy súvisiace s CatDDoS.
Medzi novšími aktívnymi variantmi sú v-2.0.4 (CatDDoS) a v-Rebirth (RebirthLTD), obe využívajúce na prenos údajov šifrovanie chacha20 s identickými kľúčmi a nonces. Rozdiel spočíva v použití domény OpenNIC vo verzii 2.0.4 ako názvu domény Command-and-Control (C2). Zatiaľ čo RebirthLTD spočiatku využíval pôvodný kód Mirai, neskôr prešiel na kódovú základňu CatDDoS a prechádza častými aktualizáciami.
V podstate vzorky súvisiace s CatDDoS prešli minimálnymi zmenami v porovnaní s predchádzajúcimi verziami. Boli implementované niektoré menšie úpravy na zvýšenie zložitosti reverzného inžinierstva. Konsenzus je teda taký, že hoci zmeny existujú, sú relatívne obmedzené.
Rôznorodý súbor cieľov pozorovaných v operáciách útoku na botnet CatDDoS
Od októbra 2023 sa väčšina cieľov zasiahnutých malvérom nachádzala v Číne, po ktorej nasledovali USA, Japonsko, Singapur, Francúzsko, Kanada, Spojené kráľovstvo, Bulharsko, Nemecko, Holandsko a India.
Odvtedy vedci pozorovali posun v zameraní na krajiny ako USA, Francúzsko, Nemecko, Brazília a Čína. Ciele zahŕňajú rôzne odvetvia vrátane poskytovateľov cloudových služieb, vzdelávania, vedeckého výskumu, prenosu informácií, verejnej správy a stavebníctva.
Okrem toho, že malvér využíva algoritmus ChaCha20 na šifrovanie komunikácie so serverom C2, využíva doménu OpenNIC pre C2, čo je taktika, ktorú predtým využíval iný botnet DDoS založený na Mirai známy ako Fodcha. Je zaujímavé, že CatDDoS zdieľa rovnaký pár kľúč/nonce pre algoritmus ChaCha20 s tromi ďalšími DDoS botnetmi s názvom hailBot, VapeBot a Woodman.
