CatDDoS-Botnetz
Forscher, die die aktiveren Mainstream-DDoS-Botnetze analysieren, haben einen Anstieg der Angriffstätigkeit von CatDDoS-bezogenen Cybergangs gemeldet. Im Laufe ihrer Untersuchung konnten die Experten bestätigen, dass die Cyberkriminellen innerhalb von nur drei Monaten über 80 Schwachstellen ausgenutzt haben, um Zielgeräte zu kompromittieren. Darüber hinaus wurde eine maximale Anzahl von Zielen von über 300 pro Tag beobachtet. Das Ziel der Angreifer besteht darin, die anfälligen Geräte zu infiltrieren und sie zu kapern, um sie Teil eines Botnetzes zu machen, mit dem sie Distributed-Denial-of-Service-Angriffe (DDoS) durchführen können.
Inhaltsverzeichnis
Cyberkriminelle nutzen zahlreiche Schwachstellen aus, um das CatDDoS-Botnetz bereitzustellen
Diese Schwachstellen betreffen eine Vielzahl von Geräten, darunter Router, Netzwerkgeräte und andere Hardware verschiedener Anbieter wie Apache (ActiveMQ, Hadoop, Log4j und RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel und andere. Forscher haben darauf hingewiesen, dass bestimmte Schwachstellen noch nicht identifiziert wurden und es sich unter bestimmten Bedingungen möglicherweise um 0-Tage-Schwachstellen handelt.
CatDDoS basiert auf dem berüchtigten Mirai-Botnetz
CatDDoS ist seit seiner Einführung selbst eine Variante von Mirai . Der Name leitet sich von der Verwendung von „Katze“ und „Miau“ in frühen Domänennamen und Samples ab, was auf eine Affinität seines Erstellers zu Katzenmotiven hindeutet. Neuere Versionen von CatDDoS tauchten erstmals im August 2023 auf und weisen im Vergleich zu früheren Versionen nur minimale Änderungen in den Kommunikationsmethoden auf.
Unter Forschern wird spekuliert, dass CatDDoS Ende letzten Jahres abgeschaltet worden sein könnte. Der Quellcode der Bedrohung wurde jedoch entweder von seinen Entwicklern verkauft oder unabhängig davon durchgesickert. Infolgedessen sind neue Iterationen wie RebirthLTD, Komaru, Cecilio Network und andere entstanden.
Mehrere cyberkriminelle Gruppen haben ihre eigenen CatDDoS-Botnet-Varianten erstellt
Obwohl verschiedene Gruppen unterschiedliche Iterationen des CatDDoS-Botnetzes überwachen, gibt es nur minimale Unterschiede in der Codestruktur, den Kommunikationsprotokollen, den Zeichenfolgenmustern, den Entschlüsselungsmethoden und anderen Aspekten. Daher haben Forscher diese Varianten zu einem einheitlichen Cluster zusammengefasst, der als CatDDoS-bezogene Gangs bekannt ist.
Zu den neueren aktiven Varianten gehören v-2.0.4 (CatDDoS) und v-Rebirth (RebirthLTD), die beide die Chacha20-Verschlüsselung für die Datenübertragung mit identischen Schlüsseln und Nonces verwenden. Die Diskrepanz liegt darin, dass v-2.0.4 die OpenNIC-Domäne als Command-and-Control-Domänennamen (C2) verwendet. Während RebirthLTD anfangs den ursprünglichen Code von Mirai verwendete, wechselte es später zur Codebasis von CatDDoS und wird häufig aktualisiert.
Im Wesentlichen wurden die CatDDoS-bezogenen Samples im Vergleich zu früheren Versionen nur minimal verändert. Einige kleinere Anpassungen wurden vorgenommen, um die Komplexität des Reverse Engineering zu erhöhen. Daher besteht Konsens darüber, dass zwar Änderungen vorhanden sind, diese jedoch relativ begrenzt sind.
Bei den Angriffen des CatDDoS-Botnetzes wurde eine vielfältige Reihe von Zielen beobachtet
Im Oktober 2023 befand sich die Mehrheit der von der Malware betroffenen Ziele in China, gefolgt von den USA, Japan, Singapur, Frankreich, Kanada, Großbritannien, Bulgarien, Deutschland, den Niederlanden und Indien.
Seitdem beobachten Forscher eine Verschiebung des Fokus auf Länder wie die USA, Frankreich, Deutschland, Brasilien und China. Die Ziele erstrecken sich über verschiedene Branchen, darunter Cloud-Dienstleister, Bildung, wissenschaftliche Forschung, Informationsübertragung, öffentliche Verwaltung und Bauwesen.
Besonders bemerkenswert ist, dass die Malware nicht nur den ChaCha20-Algorithmus zur Verschlüsselung der Kommunikation mit dem C2-Server verwendet, sondern auch eine OpenNIC-Domäne für C2, eine Taktik, die zuvor von einem anderen Mirai-basierten DDoS-Botnetz namens Fodcha verwendet wurde. Interessanterweise teilt CatDDoS dasselbe Schlüssel/Nonce-Paar für den ChaCha20-Algorithmus mit drei anderen DDoS-Botnetzen namens hailBot, VapeBot und Woodman.
