Os responsáveis pelo malware CatDDoS exploraram mais de 80 falhas de segurança conhecidas em vários softwares nos últimos três meses para infiltrar dispositivos vulneráveis e empregá-los em um botnet para realizar ataques distribuídos de negação de serviço (DDoS).

“Amostras relacionadas a gangues CatDDoS usaram um grande número de vulnerabilidades conhecidas para entregar amostras”, disse a equipe da QiAnXin XLab. “Além disso, foi observado que o número máximo de alvos ultrapassou 300+ por dia.”

As falhas afetam roteadores, equipamentos de rede e outros dispositivos de fornecedores como Apache (ActiveMQ, Hadoop, Log4j e RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE e Zyxel, entre outros.

O CatDDoS foi documentado anteriormente pela QiAnXin e NSFOCUS no final de 2023, descrevendo-o como uma variante do botnet Mirai capaz de realizar ataques DDoS usando UDP, TCP e outros métodos.

Primeiramente visto na natureza em agosto de 2023, o malware recebe o nome devido a referências relacionadas a gatos, como “catddos.pirate” e “password_meow”, no código-fonte do artefato e nos nomes de domínio de comando e controle (C2).

A maioria dos alvos de ataque do malware está localizada na China, seguida pelos EUA, Japão, Singapura, França, Canadá, Reino Unido, Bulgária, Alemanha, Países Baixos e Índia, de acordo com informações compartilhadas pela NSFOCUS até outubro de 2023.

Além de usar o algoritmo ChaCha20 para criptografar comunicações com o servidor C2, ele utiliza um domínio OpenNIC para C2 na tentativa de escapar da detecção, uma técnica anteriormente adotada por outro botnet DDoS baseado em Mirai chamado Fodcha.

Em uma reviravolta interessante, o CatDDoS também compartilha o mesmo par chave/nonce para o algoritmo ChaCha20 que outros três botnets DDoS chamados hailBot, VapeBot e Woodman.

Segundo o XLab, os ataques são principalmente focados em países como EUA, França, Alemanha, Brasil e China, abrangendo provedores de serviços em nuvem, educação, pesquisa científica, transmissão de informações, administração pública, construção e outras indústrias.

Suspeita-se que os autores originais por trás do malware encerraram suas operações em dezembro de 2023, mas não sem antes disponibilizarem o código-fonte para venda em um grupo dedicado do Telegram.

“Devido à venda ou vazamento do código-fonte, surgiram novas variantes, como RebirthLTD, Komaru, Cecilio Network, etc., após o encerramento”, disseram os pesquisadores. “Embora as diferentes variantes possam ser gerenciadas por grupos diferentes, há pouca variação no código, design de comunicação, strings, métodos de descriptografia, etc.”

Pesquisadores demonstram DNSBomb

A divulgação ocorre à medida que detalhes surgiram sobre uma técnica de ataque de negação de serviço “pulsante” prática e potente, chamada DNSBomb (CVE-2024-33655), que, como o nome indica, explora as consultas e respostas do Sistema de Nomes de Domínio (DNS) para obter um fator de amplificação de 20.000x.

O ataque, em sua essência, capitaliza recursos legítimos do DNS, como limites de taxa de consulta, tempos limite de consulta-resposta, agregação de consultas e tamanhos máximos de resposta para criar inundações programadas de respostas usando uma autoridade maliciosamente projetada e um resolvedor recursivo vulnerável.

“O DNSBomb explora vários mecanismos de DNS amplamente implementados para acumular consultas de DNS que são enviadas a baixa taxa, ampliar consultas para respostas de grande tamanho e concentrar todas as respostas de DNS em um curto pulso pulsante de grande volume para sobrecarregar simultaneamente sistemas-alvo”, disse Xiang Li, candidato a doutorado no Tsinghua University NISL Lab.

“A estratégia de ataque envolve a falsificação de IP de várias consultas de DNS para um domínio controlado pelo atacante, em seguida, retendo as respostas para agregar várias respostas. O DNSBomb tem como objetivo sobrecarregar as vítimas com rajadas periódicas de tráfego amplificado que são difíceis de detectar.”

As descobertas foram apresentadas na 45ª IEEE Symposium on Security and Privacy em São Francisco na semana passada e anteriormente no evento GEEKCON 2023 que ocorreu em Xangai em outubro de 2023.

A Internet Systems Consortium (ISC), que desenvolve e mantém o pacote de software BIND, disse que não é vulnerável ao DNSBomb, adicionando que as mitigações existentes são suficientes para proteger contra os riscos apresentados pelo ataque.