CatDDoS Botnet
Ang mga mananaliksik na nagsusuri sa mas aktibong mainstream na mga botnet ng DDoS ay nag-ulat ng isang pagsulong sa operasyon ng pag-atake ng mga cybergang na nauugnay sa CatDDoS. Sa kurso ng kanilang pagsisiyasat, nagawang kumpirmahin ng mga eksperto na pinagsamantalahan ng mga cybercriminal ang higit sa 80 mga kahinaan upang ikompromiso ang mga naka-target na device sa loob lamang ng tatlong buwan. Bilang karagdagan, ang maximum na bilang ng mga target ay naobserbahan na lumampas sa 300+ bawat araw. Ang layunin ng mga umaatake ay ipasok ang mga mahihinang device at i-hijack ang mga ito upang maging bahagi ng isang botnet para sa pagsasagawa ng mga distributed denial-of-service (DDoS) na pag-atake.
Talaan ng mga Nilalaman
Ang mga Cybercriminals ay Nag-aabuso ng Maraming Kahinaan para Ihatid ang CatDDoS Botnet
Ang mga kahinaang ito ay nakakaapekto sa malawak na hanay ng mga device kabilang ang mga router, kagamitan sa networking, at iba pang hardware na ibinibigay ng iba't ibang vendor tulad ng Apache (ActiveMQ, Hadoop, Log4j, at RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel at iba pa. Itinuro ng mga mananaliksik na ang ilang mga kahinaan ay nananatiling hindi nakikilala, posibleng mga 0-araw na mga kahinaan sa ilalim ng mga partikular na kundisyon.
Ang CatDDoS ay Batay sa Nakababahalang Mirai Botnet
Ang CatDDoS mismo ay isang variant ng Mirai mula nang mabuo ito. Nakuha nito ang pangalan nito mula sa pagsasama ng 'cat' at 'meow' sa mga unang domain name at sample, na nagsasaad ng pagkakaugnay sa mga tema ng pusa ng lumikha nito. Paunang lumabas noong Agosto 2023, ang mga kamakailang pag-ulit ng CatDDoS ay nagpapakita ng kaunting pagbabago sa mga paraan ng komunikasyon kumpara sa mga naunang bersyon nito.
Mayroong haka-haka sa mga mananaliksik na maaaring isinara ang CatDDoS noong nakaraang taon. Gayunpaman, ang source code ng pagbabanta ay ibinenta ng mga tagalikha nito o nag-leak nang nakapag-iisa. Dahil dito, ang mga bagong pag-ulit tulad ng RebirthLTD, Komaru, Cecilio Network, bukod sa iba pa, ay lumitaw bilang isang resulta.
Ilang Cybercriminal Group ang Gumawa ng Kanilang Sariling Mga Variant ng CatDDoS Botnet
Bagama't maaaring pangasiwaan ng iba't ibang grupo ang iba't ibang mga pag-ulit ng CatDDoS Botnet, mayroong kaunting pagkakaiba sa istruktura ng code, mga protocol ng komunikasyon, mga pattern ng string, mga pamamaraan ng pag-decryption, at iba pang aspeto. Dahil dito, pinagsama-sama ng mga mananaliksik ang mga variant na ito sa isang pinag-isang cluster na kilala bilang mga gang na nauugnay sa CatDDoS.
Kabilang sa mga pinakabagong aktibong variant ay ang v-2.0.4 (CatDDoS) at v-Rebirth (RebirthLTD), na parehong gumagamit ng chacha20 encryption para sa paghahatid ng data, na may magkaparehong mga key at nonces. Ang pagkakaiba ay nakasalalay sa v-2.0.4 na paggamit ng OpenNIC domain bilang Command-and-Control (C2) domain name nito. Habang ginamit ng RebirthLTD ang orihinal na code ni Mirai, lumipat ito sa codebase ng CatDDoS at dumaranas ng madalas na pag-update.
Sa esensya, ang mga sample na nauugnay sa CatDDoS ay sumailalim sa kaunting pagbabago kumpara sa mga naunang bersyon. Ang ilang maliliit na pagsasaayos ay ipinatupad upang mapahusay ang pagiging kumplikado ng reverse engineering. Kaya, ang pinagkasunduan ay habang ang mga pagbabago ay umiiral, ang mga ito ay medyo limitado.
Isang Iba't ibang Hanay ng mga Target na Naobserbahan sa Mga Operasyon ng Pag-atake sa Botnet ng CatDDoS
Noong Oktubre 2023, ang karamihan sa mga target na tinamaan ng malware ay nasa China, na sinusundan ng US, Japan, Singapore, France, Canada, UK, Bulgaria, Germany, Netherlands, at India.
Mula noon, naobserbahan ng mga mananaliksik ang pagbabago ng pagtuon sa mga bansa tulad ng US, France, Germany, Brazil, at China. Ang mga target ay sumasaklaw sa iba't ibang industriya, kabilang ang mga cloud service provider, edukasyon, siyentipikong pananaliksik, paghahatid ng impormasyon, pampublikong pangangasiwa, at konstruksiyon.
Kapansin-pansin, bilang karagdagan sa paggamit ng ChaCha20 algorithm para sa pag-encrypt ng mga komunikasyon sa C2 server, ang malware ay gumagamit ng isang OpenNIC domain para sa C2, isang taktika na dating ginamit ng isa pang Mirai-based DDoS botnet na kilala bilang Fodcha. Nakakaintriga, ibinabahagi ng CatDDoS ang parehong key/nonce pair para sa ChaCha20 algorithm sa tatlong iba pang DDoS botnet na pinangalanang hailBot, VapeBot, at Woodman.
