CatDDoS Botnet
Forskare som analyserar de mer aktiva vanliga DDoS-botnäten har rapporterat en ökning av attacken av CatDDoS-relaterade cybergäng. Under loppet av sin undersökning lyckades experterna bekräfta att cyberbrottslingarna har utnyttjat över 80 sårbarheter för att äventyra riktade enheter på bara tre månader. Dessutom har det maximala antalet mål observerats överstiga 300+ per dag. Målet för angriparna är att infiltrera de sårbara enheterna och kapa dem till att bli en del av ett botnät för att utföra DDoS-attacker (distributed denial-of-service).
Innehållsförteckning
Cyberkriminella missbrukar många sårbarheter för att leverera CatDDoS-botnätet
Dessa sårbarheter påverkar ett brett utbud av enheter inklusive routrar, nätverksutrustning och annan hårdvara som tillhandahålls av olika leverantörer som Apache (ActiveMQ, Hadoop, Log4j och RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel och andra. Forskare har påpekat att vissa sårbarheter förblir oidentifierade, möjligen är 0-dagars sårbarheter under specifika förhållanden.
CatDDoS är baserat på det ökända Mirai Botnet
CatDDoS är i sig en variant av Mirai sedan starten. Den har fått sitt namn från inkluderingen av "katt" och "jam" i tidiga domännamn och prover, vilket indikerar en affinitet till kattteman av dess skapare. De senaste versionerna av CatDDoS, som ursprungligen visades i augusti 2023, uppvisar minimala förändringar i kommunikationsmetoder jämfört med dess tidigare versioner.
Det finns spekulationer bland forskare om att CatDDoS kan ha stängts av i slutet av förra året. Ändå såldes hotets källkod antingen av dess skapare eller läckte ut oberoende. Följaktligen har nya iterationer som RebirthLTD, Komaru, Cecilio Network, bland andra, dykt upp som ett resultat.
Flera cyberkriminella grupper har skapat sina egna CatDDoS Botnet-varianter
Även om olika grupper kan övervaka olika iterationer av CatDDoS Botnet, finns det minimal avvikelse i kodstruktur, kommunikationsprotokoll, strängmönster, dekrypteringsmetoder och andra aspekter. Följaktligen har forskare konsoliderat dessa varianter till ett enhetligt kluster känt som CatDDoS-relaterade gäng.
Bland de nyare aktiva varianterna finns v-2.0.4 (CatDDoS) och v-Rebirth (RebirthLTD), båda använder chacha20-kryptering för dataöverföring, med identiska nycklar och nonces. Diskrepansen ligger i v-2.0.4:s användning av OpenNIC-domänen som dess Command-and-Control (C2) domännamn. Medan RebirthLTD ursprungligen använde Mirais ursprungliga kod, övergick den senare till CatDDoS:s kodbas och genomgår frekventa uppdateringar.
I huvudsak har de CatDDoS-relaterade proverna genomgått minimala förändringar jämfört med tidigare versioner. Vissa mindre justeringar har genomförts för att öka komplexiteten i reverse engineering. Konsensus är alltså att även om förändringar finns, är de relativt begränsade.
En mångsidig uppsättning mål observerade i CatDDoS Botnet Attack Operations
Från och med oktober 2023 var majoriteten av målen som drabbats av skadlig programvara i Kina, följt av USA, Japan, Singapore, Frankrike, Kanada, Storbritannien, Bulgarien, Tyskland, Nederländerna och Indien.
Sedan dess har forskare observerat en förändring i fokus mot länder som USA, Frankrike, Tyskland, Brasilien och Kina. Målen spänner över olika branscher, inklusive molntjänstleverantörer, utbildning, vetenskaplig forskning, informationsöverföring, offentlig förvaltning och byggande.
Noterbart, förutom att använda ChaCha20-algoritmen för att kryptera kommunikation med C2-servern, använder skadlig programvara en OpenNIC-domän för C2, en taktik som tidigare använts av ett annat Mirai-baserat DDoS-botnät känt som Fodcha. Intressant nog delar CatDDoS samma nyckel/nonce-par för ChaCha20-algoritmen med tre andra DDoS-botnät som heter hailBot, VapeBot och Woodman.
