За последние три месяца хакеры, стоящие за ботнетом CatDDoS, использовали более 80 известных уязвимостей в различных программных продуктах, чтобы произвести заражение устройств и включить их в свою сеть для проведения атак типа “отказ в обслуживании” (DDoS).
По данным исследователей из компании QiAnXin, образцы, связанные с CatDDoS, используют многочисленные известные уязвимости. Максимальное количество целей, атакованных в день, превышает 300.
Уязвимости затрагивают маршрутизаторы, сетевое оборудование и другие устройства таких производителей, как Apache (ActiveMQ, Hadoop, Log4j, и RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE и Zyxel.
CatDDoS был впервые описан QiAnXin и NSFOCUS в конце 2023 года как вариант ботнета Mirai, способный проводить DDoS-атаки с использованием протоколов UDP, TCP и других методов. Впервые обнаруженный в августе 2023 года, этот вредоносный софт получил свое название благодаря строкам вроде “catddos.pirate” и “password_meow” в доменах командного центра.
Большинство атакованных объектов расположены в Китае, США, Японии, Сингапуре, Франции, Канаде, Великобритании, Болгарии, Германии, Нидерландах и Индии.
Кроме использования алгоритма ChaCha20 для шифрования связи с сервером командного центра, ботнет применяет домен OpenNIC, чтобы избежать обнаружения. Этот метод ранее использовался другим ботнетом на основе Mirai под названием Fodcha.
CatDDoS также использует ту же пару ключа и одноразового номера для алгоритма ChaCha20, что и три других ботнета: hailBot, VapeBot и Woodman.
Согласно QiAnXin XLab, атаки CatDDoS нацелены на такие страны, как США, Франция, Германия, Бразилия и Китай, охватывая облачные сервисы, образование, научные исследования, информационные технологии, государственное управление, строительство и другие отрасли.
Предполагается, что авторы вредоносного ПО прекратили свою деятельность в декабре 2023 года, но перед этим выставили исходный код на продажу в специальной группе в Telegram.
Из-за продажи или утечки исходного кода появились новые варианты ботнетов, такие как RebirthLTD, Komaru, Cecilio Network. Несмотря на то, что различные варианты могут управляться разными группами, в коде, дизайне связи и методах расшифровки мало изменений.
Ситуация с распространением ботнета CatDDoS и ему подобных угроз подчёркивает важность своевременного устранения уязвимостей, постоянного мониторинга угроз и международного сотрудничества в сфере кибербезопасности для защиты цифровой инфраструктуры.