Ботнет CatDDoS
Дослідники, які аналізують більш активні мейнстримні DDoS-ботнети, повідомили про сплеск атак кібербанд, пов’язаних із CatDDoS. У ході розслідування експертам вдалося підтвердити, що кіберзлочинці використали понад 80 уразливостей для зламу цільових пристроїв лише за три місяці. Крім того, спостерігалося, що максимальна кількість цілей перевищує 300+ на день. Мета зловмисників — проникнути на вразливі пристрої та викрасти їх, щоб вони стали частиною ботнету для проведення розподілених атак типу «відмова в обслуговуванні» (DDoS).
Зміст
Кіберзлочинці зловживають численними вразливими місцями для створення ботнету CatDDoS
Ці уразливості впливають на широкий спектр пристроїв, включаючи маршрутизатори, мережеве обладнання та інше обладнання, що поставляється різними постачальниками, такими як Apache (ActiveMQ, Hadoop, Log4j і RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel та інші. Дослідники відзначили, що певні вразливості залишаються невизначеними, можливо, це уразливості 0 днів за певних умов.
CatDDoS базується на сумнозвісному ботнеті Mirai
CatDDoS сам по собі є варіантом Mirai з моменту його створення. Його назва походить від включення «кіт» і «мяу» в перші доменні імена та зразки, що вказує на прихильність його творця до котячих тем. Уперше з’явившись у серпні 2023 року, останні ітерації CatDDoS демонструють мінімальні зміни в методах зв’язку порівняно з попередніми версіями.
Серед дослідників є припущення, що CatDDoS міг бути закритий наприкінці минулого року. Тим не менш, вихідний код загрози був або проданий її творцями, або витік незалежно від нього. Отже, в результаті з’явилися нові ітерації, такі як RebirthLTD, Komaru, Cecilio Network тощо.
Декілька груп кіберзлочинців створили власні варіанти ботнету CatDDoS
Хоча різні групи можуть контролювати різні ітерації ботнету CatDDoS, існує мінімальна розбіжність у структурі коду, протоколах зв’язку, шаблонах рядків, методології дешифрування та інших аспектах. Отже, дослідники об’єднали ці варіанти в об’єднаний кластер, відомий як групи, пов’язані з CatDDoS.
Серед останніх активних варіантів — v-2.0.4 (CatDDoS) і v-Rebirth (RebirthLTD), обидва використовують шифрування chacha20 для передачі даних з ідентичними ключами та nonces. Розбіжність полягає в тому, що версія 2.0.4 використовує домен OpenNIC як доменне ім’я Command-and-Control (C2). Хоча RebirthLTD спочатку використовував оригінальний код Mirai, пізніше він перейшов на кодову базу CatDDoS і зазнає частих оновлень.
По суті, зразки, пов’язані з CatDDoS, зазнали мінімальних змін порівняно з попередніми версіями. Було внесено деякі незначні коригування для підвищення складності зворотного проектування. Таким чином, консенсус полягає в тому, що хоча зміни й існують, вони відносно обмежені.
Різноманітний набір цілей, які спостерігаються під час операцій ботнет-атаки CatDDoS
Станом на жовтень 2023 року більшість цілей, уражених шкідливим програмним забезпеченням, знаходились у Китаї, за ним йдуть США, Японія, Сінгапур, Франція, Канада, Великобританія, Болгарія, Німеччина, Нідерланди та Індія.
Відтоді дослідники помітили зміщення уваги до таких країн, як США, Франція, Німеччина, Бразилія та Китай. Цілі охоплюють різні галузі, включаючи постачальників хмарних послуг, освіту, наукові дослідження, передачу інформації, державне управління та будівництво.
Примітно, що на додаток до використання алгоритму ChaCha20 для шифрування зв’язку з сервером C2, зловмисне програмне забезпечення використовує домен OpenNIC для C2, тактику, яка раніше використовувалася іншим DDoS-ботнетом на основі Mirai, відомим як Fodcha. Цікаво, що CatDDoS має ту саму пару ключ/nonce для алгоритму ChaCha20 з трьома іншими DDoS-ботнетами під назвою hailBot, VapeBot і Woodman.
