Você está visualizando atualmente Aceleração De Distribuição Do Mirai Variant Através De Mais De 80 Vulnerabilidades Em Ataques Nos Últimos Três Meses

Aceleração De Distribuição Do Mirai Variant Através De Mais De 80 Vulnerabilidades Em Ataques Nos Últimos Três Meses

Pesquisadores identificaram um recente aumento na atividade envolvendo uma variante do botnet de negação de serviço distribuído (DDoS) Mirai chamado CatDDoS.

Os ataques têm visado organizações de vários setores e incluem fornecedores de nuvem, provedores de comunicação, empresas de construção, entidades científicas e de pesquisa, e instituições educacionais nos EUA, França, Alemanha, Brasil e China.

O malware surgiu pela primeira vez em agosto passado e foi uma ameaça relativamente prolífica em setembro de 2023. O CatDDoS praticamente desapareceu de vista em dezembro, levando os pesquisadores que rastreiam a ameaça no QiAnXin XLab da China a supor que os operadores do malware podem ter encerrado suas atividades.

Em um relatório emitido esta semana, o QiAnXin afirmou que seus pesquisadores observaram várias gangues usando variantes do CatDDoS nos últimos três meses. Os operadores das variantes, que estão sendo rastreados sob diversos nomes, incluindo RebirthLTD, Komaru e Cecilio Network, exploraram pelo menos 80 vulnerabilidades diferentes em sua nova campanha, segundo o QiAnXin.

“Nosso sistema observou que as gangues relacionadas ao CatDDoS permanecem ativas”, disse o QiAnXin em um post em seu blog. “Além disso, foi observado que o número máximo de alvos ultrapassou 300+ por dia.”

As vulnerabilidades exploradas sob o guarda-chuva do CatDDoS afetam dezenas de produtos e tecnologias, incluindo servidores Apache ActiveMQ, Apache Log4j, roteadores Cisco Linksys, servidores Jenkins e roteadores NetGear.

Muitas das vulnerabilidades são recentes, ou seja, foram divulgadas no último ano. No entanto, há várias outras que os atores de ameaças do CatDDoS estão explorando que são relativamente antigas. Entre elas estão a CVE-2010-2506, uma vulnerabilidade de quase 14 anos no firmware da Linksys; a CVE-2013-1599, uma falha de mais de uma década em câmeras IP da D-Link; e a CVE-2011-5010, uma vulnerabilidade de execução remota de código em roteadores Ctek SkySouters de 2011.

“Não identificamos algumas vulnerabilidades ainda, mas podem ser vulnerabilidades zero-day com base nos parâmetros de execução das amostras”, disse a QuAnXin. “Por exemplo, ‘skylab0day’ e ‘Cacti-n0day’ são mostrados nos parâmetros de execução da amostra”, observou a empresa, apontando para a telemetria relacionada ao CatDDoS que seus pesquisadores analisaram.

De acordo com a QuAnXin, os atores do CatDDoS têm comprometido mais de 300 alvos por dia na última onda de ataques.

As variantes do CatDDoS que o fornecedor de segurança observou parecem ser todas baseadas no código-fonte que os autores do malware originalmente divulgaram publicamente em dezembro após uma tentativa infrutífera de vendê-lo. “Embora as diferentes variantes possam ser gerenciadas por grupos diferentes, há pouca variação no código, design de comunicação, strings, métodos de descriptografia, etc.,” disse a QuAnXin. “Assim, unificamos essas variantes nas gangues relacionadas ao CatDDoS, mesmo que elas possam não admitir.”

Ameaças potentes, como sempre

Malwares DDoS e botnets continuam sendo uma ameaça potente para organizações em todo o mundo. Embora muitas organizações tenham construído redundâncias substanciais em suas infraestruturas de rede para acomodar picos de tráfego DDoS repentinos, os atores de ameaças também intensificaram seus esforços.

Um relatório recente da Nexusguard mostrou que os atores de ameaças mudaram seu foco de ataque para computadores individuais e servidores. Esses sistemas foram o principal alvo em 92% das tentativas de ataque DDoS que a Nexusguard identificou no ano passado – um aumento significativo em relação aos 68% do ano anterior. A empresa atribuiu a mudança de foco a novas vulnerabilidades em sistemas Windows e à disponibilidade de malwares que facilitaram para os atacantes comprometerem esses sistemas.

Significativamente, embora o volume de ataques DDoS tenha caído 55% em 2023, o tamanho dos ataques individuais aumentou 233%. Em muitos desses ataques, os atores de ameaças continuaram a depender da amplificação NTP – uma técnica que aumenta significativamente o tráfego de ataque. Mas cada vez mais, segundo a Nexusguard, eles também recorreram a outras técnicas, como amplificação DNS e métodos de flooding HTTPS, para aumentar os volumes de tráfego de ataque.