CatDDoS Botnet
Daha aktif ana akım DDoS botnet'lerini analiz eden araştırmacılar, CatDDoS ile ilgili siber çetelerin saldırı operasyonlarında bir artış olduğunu bildirdi. Uzmanlar, incelemeleri sırasında siber suçluların yalnızca üç ay içinde hedeflenen cihazları tehlikeye atmak için 80'den fazla güvenlik açığından yararlandığını doğrulamayı başardı. Ayrıca günlük maksimum hedef sayısının 300+'ü aştığı gözlemlendi. Saldırganların amacı, savunmasız cihazlara sızmak ve onları dağıtarak hizmet reddi (DDoS) saldırıları gerçekleştirmek üzere bir botnet'in parçası haline getirmektir.
İçindekiler
Siber suçlular CatDDoS Botnet'i Sunmak İçin Çok Sayıda Güvenlik Açıkını Suistimal Ediyor
Bu güvenlik açıkları, Apache (ActiveMQ, Hadoop, Log4j ve RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud gibi çeşitli satıcılar tarafından sağlanan yönlendiriciler, ağ ekipmanları ve diğer donanımlar dahil olmak üzere çok çeşitli cihazları etkiler. Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel ve diğerleri. Araştırmacılar, belirli güvenlik açıklarının tanımlanamadığına, muhtemelen belirli koşullar altında 0 günlük güvenlik açıkları olduğuna dikkat çekti.
CatDDoS Ünlü Mirai Botnet'i Temel Almaktadır
CatDDoS, başlangıcından bu yana Mirai'nin bir çeşididir. Adını, yaratıcısının kedi temalarına olan yakınlığını gösteren, ilk alan adlarında ve örneklerinde 'kedi' ve 'miyav' kelimelerinin bulunmasından almaktadır. İlk olarak Ağustos 2023'te ortaya çıkan CatDDoS'un son versiyonları, önceki versiyonlarına kıyasla iletişim yöntemlerinde minimum düzeyde değişiklik gösteriyor.
Araştırmacılar arasında CatDDoS'un geçen yılın sonlarında kapatılmış olabileceği yönünde spekülasyonlar var. Ancak tehdidin kaynak kodu ya yaratıcıları tarafından satıldı ya da bağımsız olarak sızdırıldı. Sonuç olarak, RebirthLTD, Komaru, Cecilio Network gibi yeni versiyonlar ortaya çıktı.
Birçok Siber Suç Grubu Kendi CatDDoS Botnet Türlerini Oluşturdu
Çeşitli gruplar CatDDoS Botnet'in farklı yinelemelerini denetleyebilirken, kod yapısında, iletişim protokollerinde, dize modellerinde, şifre çözme metodolojilerinde ve diğer yönlerde minimum düzeyde farklılık vardır. Sonuç olarak araştırmacılar bu değişkenleri CatDDoS ile ilgili çeteler olarak bilinen birleşik bir kümede birleştirdiler.
Daha yeni aktif varyantlar arasında v-2.0.4 (CatDDoS) ve v-Rebirth (RebirthLTD) bulunmaktadır; her ikisi de aynı anahtarlar ve nonce'lerle veri aktarımı için chacha20 şifrelemesi kullanır. Farklılık, v-2.0.4'ün Komuta ve Kontrol (C2) alan adı olarak OpenNIC alanını kullanmasıdır. RebirthLTD başlangıçta Mirai'nin orijinal kodunu kullansa da daha sonra CatDDoS'un kod tabanına geçti ve sık sık güncelleniyor.
Temelde CatDDoS ile ilgili örnekler, önceki sürümlere kıyasla minimum düzeyde değişikliğe uğramıştır. Tersine mühendisliğin karmaşıklığını artırmak için bazı küçük ayarlamalar uygulanmıştır. Bu nedenle, fikir birliği, değişikliklerin mevcut olmasına rağmen nispeten sınırlı olduğu yönündedir.
CatDDoS Botnet Saldırı Operasyonlarında Gözlemlenen Çeşitli Hedefler Grubu
Ekim 2023 itibarıyla, kötü amaçlı yazılımın vurduğu hedeflerin çoğunluğu Çin'de bulunuyordu. Bunu ABD, Japonya, Singapur, Fransa, Kanada, İngiltere, Bulgaristan, Almanya, Hollanda ve Hindistan takip etti.
O zamandan bu yana araştırmacılar odak noktasının ABD, Fransa, Almanya, Brezilya ve Çin gibi ülkelere doğru değiştiğini gözlemlediler. Hedefler, bulut hizmet sağlayıcıları, eğitim, bilimsel araştırma, bilgi iletimi, kamu yönetimi ve inşaat dahil olmak üzere çeşitli sektörleri kapsıyor.
Özellikle, C2 sunucusuyla iletişimi şifrelemek için ChaCha20 algoritmasını kullanmanın yanı sıra, kötü amaçlı yazılım, daha önce Fodcha olarak bilinen başka bir Mirai tabanlı DDoS botnet'i tarafından kullanılan bir taktik olan C2 için bir OpenNIC alanı kullanıyor. İlginç bir şekilde CatDDoS, ChaCha20 algoritması için aynı anahtar/nonce çiftini hailBot, VapeBot ve Woodman adlı diğer üç DDoS botnet'iyle paylaşıyor.
