Os criminosos por trás do malware CatDDoS exploraram mais de 80 falhas de segurança conhecidas em vários softwares nos últimos três meses para infiltrar dispositivos vulneráveis e cooptá-los em um botnet para realizar ataques de negação de serviço distribuído (DDoS).
“As amostras relacionadas a grupos CatDDoS têm utilizado um grande número de vulnerabilidades conhecidas para entregar amostras,” disse a equipe QiAnXin XLab. “Além disso, foi observado um número máximo de alvos superior a 300+ por dia.”
As falhas afetam roteadores, equipamentos de rede e outros dispositivos de fornecedores como Apache (ActiveMQ, Hadoop, Log4j e RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, e Zyxel, entre outros.
CatDDoS foi anteriormente documentado pela QiAnXin e NSFOCUS no final de 2023, descrevendo-o como uma variante do botnet Mirai capaz de realizar ataques DDoS usando UDP, TCP e outros métodos.
Primeiramente surgido em agosto de 2023, o malware recebeu seu nome devido a referências relacionadas a gatos em strings como “catddos.pirate” e “password_meow” para domínios de comando e controle (C2).
A maioria dos alvos de ataque do malware está localizada na China, seguida pelos EUA, Japão, Singapura, França, Canadá, Reino Unido, Bulgária, Alemanha, Holanda e Índia, de acordo com informações compartilhadas pela NSFOCUS até outubro de 2023.
Além de usar o algoritmo ChaCha20 para criptografar as comunicações com o servidor C2, ele faz uso de um domínio OpenNIC para C2 na tentativa de evitar detecção, uma técnica anteriormente adotada por outro botnet DDoS baseado em Mirai chamado Fodcha.
Em uma reviravolta interessante, o CatDDoS também compartilha o mesmo par de chave/nonce para o algoritmo ChaCha20 que outros três botnets DDoS chamados hailBot, VapeBot e Woodman.
XLab disse que os ataques estão principalmente focados em países como EUA, França, Alemanha, Brasil e China, abrangendo provedores de serviços de nuvem, educação, pesquisa científica, transmissão de informações, administração pública, construção e outras indústrias.
Suspeita-se que os autores originais por trás do malware encerraram suas operações em dezembro de 2023, mas não sem antes colocar o código-fonte à venda em um grupo do Telegram dedicado.
“Devido à venda ou vazamento do código-fonte, surgiram novas variantes, como RebirthLTD, Komaru, Cecilio Network, etc. após o fechamento,” disseram os pesquisadores. “Embora as diferentes variantes possam ser gerenciadas por grupos diferentes, há pouca variação no código, design de comunicação, strings, métodos de descriptografia, etc.”
Os pesquisadores demonstraram o DNSBomb, uma técnica de ataque de negação de serviço “pulsante” prática e potente que explora as consultas e respostas do Sistema de Nomes de Domínio (DNS) para alcançar um fator de amplificação de 20.000x.
O ataque, em sua essência, capitaliza recursos legítimos de DNS como limites de taxa de consulta, tempos limite de consulta-resposta, agregação de consultas e configurações de tamanho máximo de resposta para criar inundações cronometradas de respostas usando uma autoridade maliciosamente projetada e um resolvente recursivo vulnerável.
“DNSBomb explora múltiplos mecanismos DNS amplamente implementados para acumular consultas de DNS que são enviadas a baixa taxa, ampliar consultas em respostas de grande tamanho e concentrar todas as respostas de DNS em uma explosão pulsante periódica de alto volume para sobrecarregar simultaneamente os sistemas alvo,” disse Xiang Li, candidato a Ph.D. na NISL Lab da Universidade Tsinghua.
“A estratégia de ataque envolve falsificar o IP de múltiplas consultas de DNS para um domínio controlado pelo atacante, depois reter respostas para agregar múltiplas respostas. O DNSBomb visa sobrecarregar as vítimas com explosões periódicas de tráfego amplificado que são desafiadoras de detectar.”
Os resultados foram apresentados na 45ª Reunião do Simpósio de Segurança e Privacidade da IEEE realizada em San Francisco na semana passada e anteriormente no evento GEEKCON 2023 que aconteceu em Xangai em outubro de 2023.
A Internet Systems Consortium (ISC), que desenvolve e mantém o conjunto de software BIND, disse que não é vulnerável ao DNSBomb, acrescentando que as medidas de mitigação existentes são suficientes para proteger contra os riscos apresentados pelo ataque.