CatDDoS 殭屍網絡

研究人員分析了更活躍的主流 DDoS 殭屍網絡，報告與 CatDDoS 相關的網路團伙的攻擊活動激增。在調查過程中，專家們成功確認網路犯罪分子在短短三個月內就利用了 80 多個漏洞來破壞目標設備。此外，據觀察，每天的最大目標數量超過 300 個以上。攻擊者的目標是滲透易受攻擊的裝置並劫持它們，使其成為殭屍網路的一部分，以實施分散式阻斷服務 (DDoS) 攻擊。

網路犯罪分子利用大量漏洞傳播 CatDDoS 殭屍網絡

這些漏洞影響廣泛的設備，包括路由器、網路設備以及其他由各個供應商提供的硬件，例如 Apache（ActiveMQ、Hadoop、Log4j 和 RocketMQ）、Cacti、Cisco、D-Link、DrayTek、FreePBX、GitLab、Gocloud、華為、Jenkins、Linksys、Metabase、NETGEAR、Realtek、希捷、SonicWall、騰達、TOTOLINK、TP-Link、中興、合勤等。研究人員指出，某些漏洞仍未被識別，在特定條件下可能是 0day 漏洞。

CatDDoS 基於臭名昭著的 Mirai 殭屍網絡

自Mirai誕生以來，CatDDoS 本身就是一個變體。它的名字來自早期域名和样本中包含的“cat”和“meow”，表明其創建者對貓科動物主題的熱愛。 CatDDoS 的最新迭代最初於 2023 年 8 月出現，與早期版本相比，通訊方法的變化很小。

研究人員猜測 CatDDoS 可能已於去年年底關閉。然而，該威脅的源代碼要么被其創建者出售，要么被獨立洩露。因此，RebirthLTD、Komaru、Cecilio Network 等新的迭代應運而生。

多個網路犯罪組織創建了自己的 CatDDoS 殭屍網路變體

雖然不同的組織可能監督 CatDDoS 殭屍網路的不同迭代，但在程式碼結構、通訊協定、字串模式、解密方法和其他方面的差異很小。因此，研究人員將這些變體整合到一個統一的集群中，稱為 CatDDoS 相關團體。

最近的活躍變體包括 v-2.0.4 (CatDDoS) 和 v-Rebirth (RebirthLTD)，兩者都採用 chacha20 加密進行資料傳輸，具有相同的金鑰和隨機數。差異在於 v-2.0.4 使用 OpenNIC 網域作為其命令與控制 (C2) 網域。雖然 RebirthLTD 最初使用 Mirai 的原始程式碼，但後來過渡到 CatDDoS 的程式碼庫，並且正在進行頻繁的更新。

從本質上講，與早期版本相比，CatDDoS 相關樣本僅進行了最小程度的更改。為了提高逆向工程的複雜性，進行了一些細微的調整。因此，共識是，雖然存在變化，但變化相對有限。

CatDDoS 殭屍網路攻擊行動中觀察到的多樣化目標

截至 2023 年 10 月，該惡意軟體攻擊的大部分目標位於中國，其次是美國、日本、新加坡、法國、加拿大、英國、保加利亞、德國、荷蘭和印度。

從那時起，研究人員發現焦點轉向美國、法國、德國、巴西和中國等國家。這些目標涵蓋雲端服務提供者、教育、科學研究、資訊傳輸、公共管理和建築等各個行業。

值得注意的是，除了使用 ChaCha20 演算法加密與 C2 伺服器的通訊之外，該惡意軟體還利用 OpenNIC 域進行 C2，這一策略之前被另一個基於 Mirai 的 DDoS 殭屍網路 Fodcha 使用。有趣的是，CatDDoS 與另外三個 DDoS 殭屍網路（分別為 hailBot、VapeBot 和 Woodman）共享 ChaCha20 演算法的相同金鑰/隨機數對。