CatDDoS Botnet
Raziskovalci, ki analizirajo bolj aktivne botnete DDoS, so poročali o povečanem napadu kibernetskih združb, povezanih s CatDDoS. Med preiskavo so strokovnjaki uspeli potrditi, da so kiberkriminalci v samo treh mesecih izkoristili več kot 80 ranljivosti za ogrožanje ciljnih naprav. Poleg tega je bilo ugotovljeno, da največje število tarč presega 300+ na dan. Cilj napadalcev je infiltrirati se v ranljive naprave in jih ugrabiti, da postanejo del botneta za izvajanje porazdeljenih napadov zavrnitve storitve (DDoS).
Kazalo
Kibernetski kriminalci izkoriščajo številne ranljivosti za zagotavljanje botneta CatDDoS
Te ranljivosti vplivajo na široko paleto naprav, vključno z usmerjevalniki, omrežno opremo in drugo strojno opremo, ki jo dobavljajo različni prodajalci, kot so Apache (ActiveMQ, Hadoop, Log4j in RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel in drugi. Raziskovalci so poudarili, da nekatere ranljivosti ostajajo neidentificirane, morda gre za 0-dnevne ranljivosti pod določenimi pogoji.
CatDDoS temelji na zloglasnem botnetu Mirai
CatDDoS je sam po sebi različica Mirai od njegove ustanovitve. Ime je dobilo po vključitvi besed "cat" in "meow" v prvih domenskih imenih in vzorcih, kar kaže na naklonjenost njegovega ustvarjalca mačjim temam. Nedavne ponovitve CatDDoS, ki so bile prvotno predstavljene avgusta 2023, kažejo minimalne spremembe v komunikacijskih metodah v primerjavi s prejšnjimi različicami.
Med raziskovalci se špekulira, da je bil CatDDoS morda zaprt konec lanskega leta. Kljub temu so izvorno kodo grožnje prodali njeni ustvarjalci ali pa je ušla neodvisno. Posledično so se med drugim pojavile nove ponovitve, kot so RebirthLTD, Komaru, Cecilio Network.
Več skupin kibernetskega kriminala je ustvarilo lastne različice botnetov CatDDoS
Medtem ko lahko različne skupine nadzirajo različne ponovitve botneta CatDDoS, obstajajo minimalne razlike v strukturi kode, komunikacijskih protokolih, vzorcih nizov, metodologijah dešifriranja in drugih vidikih. Posledično so raziskovalci združili te različice v enoten grozd, znan kot tolpe, povezane s CatDDoS.
Med novejšimi aktivnimi različicami sta v-2.0.4 (CatDDoS) in v-Rebirth (RebirthLTD), obe uporabljata šifriranje chacha20 za prenos podatkov z enakimi ključi in nonce. Razlika je v tem, da različica 2.0.4 uporablja domeno OpenNIC kot ime domene za ukazovanje in nadzor (C2). Medtem ko je RebirthLTD sprva uporabljal izvirno kodo Mirai, je kasneje prešel na kodno zbirko CatDDoS in se pogosto posodablja.
V bistvu so vzorci, povezani s CatDDoS, v primerjavi s prejšnjimi različicami doživeli minimalne spremembe. Izvedenih je bilo nekaj manjših prilagoditev za izboljšanje kompleksnosti obratnega inženiringa. Tako je soglasje, da spremembe obstajajo, vendar so relativno omejene.
Raznolik nabor tarč, opaženih v operacijah napada botneta CatDDoS
Od oktobra 2023 je bila večina tarč, ki jih je prizadela zlonamerna programska oprema, na Kitajskem, sledile so ZDA, Japonska, Singapur, Francija, Kanada, Združeno kraljestvo, Bolgarija, Nemčija, Nizozemska in Indija.
Od takrat so raziskovalci opazili premik pozornosti proti državam, kot so ZDA, Francija, Nemčija, Brazilija in Kitajska. Cilji zajemajo različne industrije, vključno s ponudniki storitev v oblaku, izobraževanjem, znanstvenimi raziskavami, prenosom informacij, javno upravo in gradbeništvom.
Predvsem zlonamerna programska oprema poleg uporabe algoritma ChaCha20 za šifriranje komunikacije s strežnikom C2 uporablja domeno OpenNIC za C2, taktiko, ki jo je prej uporabljal drug botnet DDoS, ki temelji na Miraiju, znan kot Fodcha. Zanimivo je, da si CatDDoS deli isti par ključ/nonce za algoritem ChaCha20 s tremi drugimi DDoS botneti, imenovanimi hailBot, VapeBot in Woodman.
