Hakeri iza CatDDoS malware botneta su iskoristili preko 80 poznatih sigurnosnih grešaka u različitim softverima u posljednja tri mjeseca kako bi infiltrirali ranjive uređaje i co-opt ih u botnet za provođenje distributed denial-of-service(DDoS).
“Uzorci bandi povezanih s CatDDoS-om koristili su veliki broj poznatih ranjivosti za isporuku uzoraka”, rekao je QiAnXin XLab tim . “Pored toga, uočeno je da maksimalni broj ciljeva premašuje 300+ dnevno.”
Nedostaci utiču na rutere, mrežnu opremu i druge uređaje proizvođača kao što su Apache (ActiveMQ, Hadoop, Log4j i RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase , NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE i Zyxel, između ostalih.
CatDDoS su prethodno dokumentovali QiAnXin i NSFOCUS krajem 2023. godine, opisujući ga kao Mirai botnet varijantu sposobnu za izvođenje DDoS napada koristeći UDP, TCP i druge metode.
Prvi put se pojavio avgustu 2023., zlonamjerni softver je dobio ime zahvaljujući referencama koje se odnose na mačke u nizovima poput “catddos.pirate” i “password_meow” za domene za command-and-control(C2).
Većina meta napada zlonamjernog softvera nalazi se u Kini, a zatim u SAD-u, Japanu, Singapuru, Francuskoj, Kanadi, UK, Bugarskoj, Njemačkoj, Holandiji i Indiji, prema informacijama koje je podijelio NSFOCUS od oktobra 2023. .
Osim što koristi ChaCha20 algoritam za šifriranje komunikacije sa C2 serverom, koristi OpenNIC domen za C2 u pokušaju da izbjegne otkrivanje, tehniku koju je prethodno usvojio drugi DDoS botnet baziran na Miraiu pod nazivom Fodcha .
U zanimljivom zaokretu, CatDDoS takođe dijeli isti par key/nonce za algoritam ChaCha20 kao i tri druga DDoS botnet mreže pod nazivom hailBot, VapeBot i Woodman.
XLab kaže da su napadi prvenstveno fokusirani na zemlje poput SAD-a, Francuske, Njemačke, Brazila i Kine, uključujući provajedere u cloud, obrazovanje, naučna istraživanja, prenos informacija, javnu upravu, građevinarstvo i druge industrije.
Sumnja se da su originalni autori koji stoje iza zlonamjernog softvera prekinuli svoje poslovanje u decembru 2023., ali ne prije nego što su izvorni kod stavili na prodaju u namjenskoj Telegram grupi.
“Zbog prodaje ili curenja izvornog koda, pojavile su se nove varijante, kao što su RebirthLTD, Komaru, Cecilio Network, itd. nakon gašenja”, rekli su istraživači. “Iako različitim varijantama mogu upravljati različite grupe, postoje male varijacije u kodu, dizajnu komunikacije, nizovima, metodama dešifriranja, itd.”
Istraživači demonstriraju DNBomb
Razotkrivanje dolazi pošto su se pojavili detalji o praktičnoj i moćnoj tehnici napada “pulsing” denial-of-service (PDoS) nazvanoj DNSBomb (CVE-2024-33655) koja, kao što naziv implicira, iskorištava mejlove Domain Name Systemena (DNS). i odgovori za postizanje faktora pojačanja od 20.000x.
Napad, u svojoj srži, koristi legitimne DNS karakteristike kao što su ograničenja brzine upita, vremenska ograničenja upita-odgovora, agregacija upita i postavke maksimalne veličine odgovora za kreiranje vremenski ograničenih poplava odgovora koristeći zlonamjerno dizajnirano ovlaštenje i ranjivi rekurzivni razrješavač.
DNSBomb napad
“Strategija napada uključuje lažiranje IP-a višestrukih DNS upita na domenu koju kontroliše napadač, zatim zadržavanje odgovora kako bi se prikupili višestruki odgovori. DNSBomb ima za cilj da preplavi žrtve periodičnim naletima pojačanog saobraćaja koje je teško otkriti.”
Nalazi su predstavljeni na 45. IEEE simpozijumu o sigurnosti i privatnosti održanom u San Francisku prošle sedmice, a prethodno na događaju GEEKCON 2023 koji se održao u Šangaju u oktobru 2023.
Internet Systems Consortium (ISC), koji razvija i održava softverski paket BIND, rekao je da on nije ranjiv na DNSBomb, dodajući da su postojeća ublažavanja dovoljna da ublaže rizike koje predstavlja napad.
Izvor:The Hacker News
