Mạng botnet CatDDoS
Các nhà nghiên cứu phân tích các botnet DDoS chính thống hoạt động tích cực hơn đã báo cáo sự gia tăng hoạt động tấn công của các băng đảng mạng liên quan đến CatDDoS. Trong quá trình điều tra, các chuyên gia đã xác nhận được rằng tội phạm mạng đã khai thác hơn 80 lỗ hổng để xâm phạm các thiết bị mục tiêu chỉ trong vòng ba tháng. Ngoài ra, số lượng mục tiêu tối đa được quan sát là hơn 300 mục tiêu mỗi ngày. Mục tiêu của những kẻ tấn công là xâm nhập vào các thiết bị dễ bị tấn công và chiếm quyền điều khiển chúng trở thành một phần của mạng botnet để thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS).
Mục lục
Tội phạm mạng lạm dụng nhiều lỗ hổng để phát tán Botnet CatDDoS
Các lỗ hổng này ảnh hưởng đến nhiều loại thiết bị bao gồm bộ định tuyến, thiết bị mạng và phần cứng khác được cung cấp bởi nhiều nhà cung cấp khác nhau như Apache (ActiveMQ, Hadoop, Log4j và RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel và các hãng khác. Các nhà nghiên cứu đã chỉ ra rằng một số lỗ hổng nhất định vẫn chưa được xác định, có thể là lỗ hổng 0 ngày trong các điều kiện cụ thể.
CatDDoS dựa trên Botnet Mirai khét tiếng
CatDDoS bản thân nó là một biến thể của Mirai kể từ khi ra đời. Tên của nó bắt nguồn từ việc bao gồm 'mèo' và 'meo meo' trong các tên miền và mẫu ban đầu, cho thấy người tạo ra nó có mối quan hệ yêu thích với chủ đề mèo. Xuất hiện lần đầu vào tháng 8 năm 2023, các phiên bản CatDDoS gần đây cho thấy những thay đổi tối thiểu trong phương thức liên lạc so với các phiên bản trước đó.
Có sự suy đoán giữa các nhà nghiên cứu rằng CatDDoS có thể đã ngừng hoạt động vào cuối năm ngoái. Tuy nhiên, mã nguồn của mối đe dọa đã được người tạo ra nó bán hoặc bị rò rỉ độc lập. Do đó, các phiên bản mới như RebirthLTD, Komaru, Cecilio Network, cùng nhiều mạng lưới khác, đã xuất hiện.
Một số nhóm tội phạm mạng đã tạo ra các biến thể Botnet CatDDoS của riêng mình
Mặc dù các nhóm khác nhau có thể giám sát các lần lặp khác nhau của CatDDoS Botnet nhưng có sự khác biệt tối thiểu về cấu trúc mã, giao thức truyền thông, mẫu chuỗi, phương pháp giải mã và các khía cạnh khác. Do đó, các nhà nghiên cứu đã hợp nhất các biến thể này thành một cụm thống nhất được gọi là các nhóm liên quan đến CatDDoS.
Trong số các biến thể hoạt động gần đây hơn là v-2.0.4 (CatDDoS) và v-Rebirth (RebirthLTD), cả hai đều sử dụng mã hóa chacha20 để truyền dữ liệu, với các khóa và mã số giống hệt nhau. Sự khác biệt nằm ở việc phiên bản v-2.0.4 sử dụng miền OpenNIC làm tên miền Lệnh và Kiểm soát (C2). Mặc dù RebirthLTD ban đầu sử dụng mã gốc của Mirai nhưng sau đó nó đã chuyển sang cơ sở mã của CatDDoS và đang được cập nhật thường xuyên.
Về bản chất, các mẫu liên quan đến CatDDoS đã trải qua những thay đổi tối thiểu so với các phiên bản trước đó. Một số điều chỉnh nhỏ đã được thực hiện để nâng cao độ phức tạp của kỹ thuật đảo ngược. Vì vậy, sự đồng thuận là mặc dù có những thay đổi nhưng chúng tương đối hạn chế.
Một loạt các mục tiêu được quan sát thấy trong các hoạt động tấn công Botnet CatDDoS
Tính đến tháng 10 năm 2023, phần lớn các mục tiêu bị phần mềm độc hại tấn công đều nằm ở Trung Quốc, tiếp theo là Mỹ, Nhật Bản, Singapore, Pháp, Canada, Anh, Bulgaria, Đức, Hà Lan và Ấn Độ.
Kể từ đó, các nhà nghiên cứu đã quan sát thấy sự thay đổi trọng tâm sang các quốc gia như Mỹ, Pháp, Đức, Brazil và Trung Quốc. Các mục tiêu trải rộng trên nhiều ngành công nghiệp khác nhau, bao gồm nhà cung cấp dịch vụ đám mây, giáo dục, nghiên cứu khoa học, truyền tải thông tin, hành chính công và xây dựng.
Đáng chú ý, ngoài việc sử dụng thuật toán ChaCha20 để mã hóa thông tin liên lạc với máy chủ C2, phần mềm độc hại còn sử dụng miền OpenNIC cho C2, một chiến thuật trước đây được sử dụng bởi một mạng botnet DDoS dựa trên Mirai khác có tên Fodcha. Điều thú vị là CatDDoS chia sẻ cùng một cặp khóa/nonce cho thuật toán ChaCha20 với ba mạng botnet DDoS khác có tên hailBot, VapeBot và Woodman.
