CatDDoS 僵尸网络

分析较为活跃的主流 DDoS 僵尸网络的研究人员报告称，与 CatDDoS 相关的网络犯罪团伙的攻击活动激增。在调查过程中，专家们成功确认，网络犯罪分子在短短三个月内利用了 80 多个漏洞来入侵目标设备。此外，观察到的目标数量最多每天超过 300 个。攻击者的目标是渗透易受攻击的设备并劫持它们，使其成为僵尸网络的一部分，以执行分布式拒绝服务 (DDoS) 攻击。

网络犯罪分子滥用大量漏洞来传播 CatDDoS 僵尸网络

这些漏洞影响范围广泛，包括路由器、网络设备以及由各种供应商提供的其他硬件，例如 Apache（ActiveMQ、Hadoop、Log4j 和 RocketMQ）、Cacti、Cisco、D-Link、DrayTek、FreePBX、GitLab、Gocloud、华为、Jenkins、Linksys、Metabase、NETGEAR、Realtek、Seagate、SonicWall、Tenda、TOTOLINK、TP-Link、ZTE、Zyxel 等。研究人员指出，某些漏洞仍未确定，可能是特定条件下的零日漏洞。

CatDDoS 基于臭名昭著的 Mirai 僵尸网络

CatDDoS 本身自诞生以来就是Mirai的一个变种。它的名字源于早期域名和样本中包含的“猫”和“喵”，表明其创建者对猫科动物主题的喜爱。CatDDoS 的最新版本于 2023 年 8 月首次出现，与早期版本相比，其通信方法几乎没有变化。

研究人员猜测 CatDDoS 可能已于去年年底关闭。然而，该威胁的源代码要么被其创建者出售，要么被独立泄露。因此，出现了 RebirthLTD、Komaru、Cecilio Network 等新版本。

多个网络犯罪团伙已创建自己的 CatDDoS 僵尸网络变种

虽然不同的组织可能负责管理 CatDDoS 僵尸网络的不同版本，但代码结构、通信协议、字符串模式、解密方法和其他方面几乎没有什么不同。因此，研究人员将这些变体整合到一个统一的集群中，称为 CatDDoS 相关团伙。

近期活跃的变种包括 v-2.0.4 (CatDDoS) 和 v-Rebirth (RebirthLTD)，二者均采用 chacha20 加密进行数据传输，密钥和随机数也相同。差异在于 v-2.0.4 使用 OpenNIC 域作为其命令和控制 (C2) 域名。虽然 RebirthLTD 最初使用 Mirai 的原始代码，但后来过渡到 CatDDoS 的代码库，并且正在频繁更新。

本质上，与早期版本相比，与 CatDDoS 相关的样本经过了最小程度的改动。进行了一些小调整，以增强逆向工程的复杂性。因此，大家一致认为，虽然存在变化，但变化相对有限。

CatDDoS 僵尸网络攻击行动中观察到的多种目标

截至 2023 年 10 月，该恶意软件攻击的大多数目标位于中国，其次是美国、日本、新加坡、法国、加拿大、英国、保加利亚、德国、荷兰和印度。

此后，研究人员发现攻击重点转向美国、法国、德国、巴西和中国等国家，攻击目标涵盖云服务提供商、教育、科学研究、信息传输、公共管理和建筑等多个行业。

值得注意的是，除了使用 ChaCha20 算法加密与 C2 服务器的通信外，该恶意软件还利用 OpenNIC 域作为 C2，这是另一个基于 Mirai 的 DDoS 僵尸网络 Fodcha 之前使用的一种策略。有趣的是，CatDDoS 与其他三个名为 hailBot、VapeBot 和 Woodman 的 DDoS 僵尸网络共享 ChaCha20 算法的相同密钥/随机数对。