CatDDoS ботнет
Истраживачи који анализирају активније главне ДДоС ботнете пријавили су пораст операција напада сајберганга повезаних са ЦатДДоС-ом. Током своје истраге, стручњаци су успели да потврде да су сајбер криминалци искористили преко 80 рањивости да би компромитовали циљане уређаје у периоду од само три месеца. Поред тога, примећено је да максимални број циљева прелази 300+ дневно. Циљ нападача је да се инфилтрирају на рањиве уређаје и отму их да постану део ботнета за извођење дистрибуираних напада ускраћивања услуге (ДДоС).
Преглед садржаја
Сајбер криминалци злоупотребљавају бројне рањивости да би испоручили ЦатДДоС ботнет
Ове рањивости утичу на широк спектар уређаја укључујући рутере, мрежну опрему и други хардвер који испоручују различити произвођачи као што су Апацхе (АцтивеМК, Хадооп, Лог4ј и РоцкетМК), Цацти, Цисцо, Д-Линк, ДраиТек, ФрееПБКС, ГитЛаб, Гоцлоуд, Хуавеи, Јенкинс, Линксис, Метабасе, НЕТГЕАР, Реалтек, Сеагате, СоницВалл, Тенда, ТОТОЛИНК, ТП-Линк, ЗТЕ, Зикел и други. Истраживачи су истакли да одређене рањивости остају неидентификоване, вероватно рањивости 0 дана под одређеним условима.
ЦатДДоС је заснован на злогласном Мираи ботнету
ЦатДДоС је сам по себи варијанта Мираија од његовог почетка. Име потиче од укључивања речи „мачка“ и „мјау“ у ране називе домена и узорке, што указује на афинитет према мачјим темама од стране његовог креатора. У почетку су се појавиле у августу 2023., недавне итерације ЦатДДоС-а показују минималне промене у методама комуникације у поређењу са његовим ранијим верзијама.
Међу истраживачима се спекулише да је ЦатДДоС можда угашен крајем прошле године. Ипак, изворни код претње су или продали њени креатори или је процурио независно. Као резултат тога, појавиле су се, између осталих, нове итерације као што су РебиртхЛТД, Комару, Цецилио Нетворк.
Неколико група кибернетичких криминалаца створило је сопствене ЦатДДоС ботнет варијанте
Док различите групе могу да надгледају различите итерације ЦатДДоС ботнета, постоји минимална дивергенција у структури кода, комуникационим протоколима, обрасцима низова, методологијама дешифровања и другим аспектима. Сходно томе, истраживачи су консолидовали ове варијанте у уједињени кластер познат као банде повезане са ЦатДДоС-ом.
Међу новијим активним варијантама су в-2.0.4 (ЦатДДоС) и в-Ребиртх (РебиртхЛТД), обе користе цхацха20 енкрипцију за пренос података, са идентичним кључевима и нонцес. Неслагање лежи у томе што в-2.0.4 користи ОпенНИЦ домен као име свог домена за команду и контролу (Ц2). Док је РебиртхЛТД првобитно користио Мираијев оригинални код, касније је прешао на ЦатДДоС-ову базу кода и пролази кроз честа ажурирања.
У суштини, узорци који се односе на ЦатДДоС претрпели су минималне измене у поређењу са ранијим верзијама. Нека мања прилагођавања су примењена да би се побољшала сложеност обрнутог инжењеринга. Дакле, консензус је да су промене, иако постоје, релативно ограничене.
Разноврсни скуп циљева примећених у операцијама ЦатДДоС ботнет напада
Од октобра 2023., већина мета погођених малвером налазила се у Кини, а затим у САД, Јапану, Сингапуру, Француској, Канади, УК, Бугарској, Немачкој, Холандији и Индији.
Од тада, истраживачи су приметили промену фокуса ка земљама као што су САД, Француска, Немачка, Бразил и Кина. Циљеви обухватају различите индустрије, укључујући пружаоце услуга у облаку, образовање, научна истраживања, пренос информација, јавну управу и грађевинарство.
Посебно, поред употребе ЦхаЦха20 алгоритма за шифровање комуникације са Ц2 сервером, злонамерни софтвер користи ОпенНИЦ домен за Ц2, тактику коју је раније користио други ДДоС ботнет заснован на Мираи-у познат као Фодцха. Интригантно, ЦатДДоС дели исти пар кључ/нонце за алгоритам ЦхаЦха20 са три друга ДДоС ботнет мреже под називом хаилБот, ВапеБот и Воодман.
