บอทเน็ต CatDDoS

นักวิจัยวิเคราะห์บอตเน็ต DDoS กระแสหลักที่มีการใช้งานมากขึ้น รายงานว่ามีการโจมตีแก๊งไซเบอร์ที่เกี่ยวข้องกับ CatDDoS เพิ่มขึ้นอย่างรวดเร็ว ในระหว่างการสอบสวน ผู้เชี่ยวชาญสามารถยืนยันได้ว่าอาชญากรไซเบอร์ได้ใช้ประโยชน์จากช่องโหว่มากกว่า 80 รายการเพื่อโจมตีอุปกรณ์เป้าหมายภายในระยะเวลาเพียงสามเดือน นอกจากนี้ จำนวนเป้าหมายสูงสุดยังถูกสังเกตเกิน 300+ ต่อวัน เป้าหมายของผู้โจมตีคือการแทรกซึมอุปกรณ์ที่มีช่องโหว่และแย่งชิงอุปกรณ์เหล่านั้นให้กลายเป็นส่วนหนึ่งของบอตเน็ตเพื่อดำเนินการโจมตีแบบปฏิเสธการให้บริการ (DDoS) แบบกระจาย

อาชญากรไซเบอร์ใช้ช่องโหว่มากมายเพื่อส่งมอบ CatDDoS Botnet

ช่องโหว่เหล่านี้ส่งผลกระทบต่ออุปกรณ์หลากหลายประเภท รวมถึงเราเตอร์ อุปกรณ์เครือข่าย และฮาร์ดแวร์อื่นๆ ที่จัดหาโดยผู้จำหน่ายต่างๆ เช่น Apache (ActiveMQ, Hadoop, Log4j และ RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel และอื่นๆ นักวิจัยได้ชี้ให้เห็นว่าช่องโหว่บางอย่างยังไม่สามารถระบุได้ ซึ่งอาจเป็นช่องโหว่ 0 วันภายใต้เงื่อนไขเฉพาะ

CatDDoS มีพื้นฐานมาจาก Mirai Botnet ที่น่าอับอาย

CatDDoS เองก็เป็นอีกรูปแบบหนึ่งของ Mirai มาตั้งแต่เริ่มก่อตั้ง ชื่อนี้ได้มาจากการรวมคำว่า 'cat' และ 'meow' ไว้ในชื่อโดเมนและตัวอย่างในยุคแรกๆ ซึ่งบ่งบอกถึงความผูกพันต่อธีมแมวโดยผู้สร้าง CatDDoS ที่เพิ่งเปิดตัวครั้งแรกในเดือนสิงหาคม 2023 มีการเปลี่ยนแปลงวิธีการสื่อสารเพียงเล็กน้อยเมื่อเทียบกับเวอร์ชันก่อนหน้า

มีการคาดเดาในหมู่นักวิจัยว่า CatDDoS อาจถูกปิดตัวลงเมื่อปลายปีที่แล้ว อย่างไรก็ตาม ซอร์สโค้ดของภัยคุกคามถูกขายโดยผู้สร้างหรือรั่วไหลโดยอิสระ ผลที่ตามมาคือมีการทำซ้ำครั้งใหม่ เช่น RebirthLTD, Komaru, Cecilio Network และอื่นๆ อีกมากมาย

กลุ่มอาชญากรไซเบอร์หลายกลุ่มได้สร้างบอทเน็ต CatDDoS ของตนเองขึ้นมา

แม้ว่ากลุ่มต่างๆ อาจดูแลการวนซ้ำของ CatDDoS Botnet ที่แตกต่างกัน แต่ก็มีความแตกต่างกันเพียงเล็กน้อยในโครงสร้างโค้ด โปรโตคอลการสื่อสาร รูปแบบสตริง วิธีการถอดรหัส และด้านอื่นๆ ด้วยเหตุนี้ นักวิจัยจึงได้รวมตัวแปรเหล่านี้เข้าเป็นกลุ่มรวมที่เรียกว่าแก๊งค์ที่เกี่ยวข้องกับ CatDDoS

ในบรรดาตัวแปรที่ใช้งานล่าสุดคือ v-2.0.4 (CatDDoS) และ v-Rebirth (RebirthLTD) ทั้งคู่ใช้การเข้ารหัส chacha20 สำหรับการส่งข้อมูล โดยมีคีย์และ nonces ที่เหมือนกัน ความแตกต่างอยู่ที่การใช้งานโดเมน OpenNIC ของ v-2.0.4 เป็นชื่อโดเมน Command-and-Control (C2) แม้ว่าในตอนแรก RebirthLTD จะใช้โค้ดดั้งเดิมของ Mirai แต่ต่อมาได้เปลี่ยนไปใช้โค้ดเบสของ CatDDoS และอยู่ระหว่างการอัปเดตบ่อยครั้ง

โดยพื้นฐานแล้ว ตัวอย่างที่เกี่ยวข้องกับ CatDDoS ได้รับการแก้ไขเพียงเล็กน้อยเมื่อเทียบกับเวอร์ชันก่อนหน้า มีการปรับเปลี่ยนเล็กน้อยบางประการเพื่อเพิ่มความซับซ้อนของวิศวกรรมย้อนกลับ ดังนั้น ฉันทามติก็คือแม้ว่าการเปลี่ยนแปลงจะเกิดขึ้น แต่ก็ค่อนข้างจำกัด

ชุดเป้าหมายที่หลากหลายที่พบในการดำเนินการโจมตีบ็อตเน็ต CatDDoS

ในเดือนตุลาคม 2023 เป้าหมายส่วนใหญ่ที่โดนมัลแวร์นี้อยู่ที่จีน ตามมาด้วยสหรัฐอเมริกา ญี่ปุ่น สิงคโปร์ ฝรั่งเศส แคนาดา สหราชอาณาจักร บัลแกเรีย เยอรมนี เนเธอร์แลนด์ และอินเดีย

ตั้งแต่นั้นมา นักวิจัยได้สังเกตเห็นการเปลี่ยนแปลงในการมุ่งเน้นไปที่ประเทศต่างๆ เช่น สหรัฐอเมริกา ฝรั่งเศส เยอรมนี บราซิล และจีน เป้าหมายครอบคลุมอุตสาหกรรมต่างๆ รวมถึงผู้ให้บริการระบบคลาวด์ การศึกษา การวิจัยทางวิทยาศาสตร์ การส่งข้อมูล การบริหารสาธารณะ และการก่อสร้าง

นอกเหนือจากการใช้อัลกอริธึม ChaCha20 ในการเข้ารหัสการสื่อสารกับเซิร์ฟเวอร์ C2 แล้ว มัลแวร์ยังใช้โดเมน OpenNIC สำหรับ C2 ซึ่งเป็นกลยุทธ์ที่ก่อนหน้านี้ใช้โดยบอตเน็ต DDoS ที่ใช้ Mirai อื่นที่รู้จักกันในชื่อ Fodcha น่าประหลาดใจที่ CatDDoS ใช้คู่คีย์/nonce เดียวกันสำหรับอัลกอริธึม ChaCha20 กับบอตเน็ต DDoS อีกสามตัวชื่อ hailBot, VapeBot และ Woodman