Os responsáveis pela ameaça do malware CatDDoS exploraram mais de 80 falhas de segurança conhecidas em vários softwares nos últimos três meses para se infiltrar em dispositivos vulneráveis e cooptá-los em um botnet para conduzir ataques distribuídos de negação de serviço (DDoS).

“As amostras de gangues relacionadas ao CatDDoS usaram um grande número de vulnerabilidades conhecidas para entregar amostras,” disse a equipe QiAnXin XLab. “Além disso, foi observado que o número máximo de alvos excedeu 300+ por dia.”

As falhas afetam roteadores, equipamentos de rede e outros dispositivos de fornecedores como Apache (ActiveMQ, Hadoop, Log4j e RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE e Zyxel, entre outros.

CatDDoS foi documentado anteriormente pela QiAnXin e NSFOCUS no final de 2023, descrevendo-o como uma variante de botnet Mirai capaz de realizar ataques DDoS usando UDP, TCP e outros métodos.

Primeiramente surgido em agosto de 2023, o malware recebeu esse nome devido a referências a gatos, como “catddos.pirate” e “password_meow” no código fonte do artefato e nos nomes de domínio de comando e controle (C2).

A maioria dos alvos de ataque do malware está localizada na China, seguida pelos EUA, Japão, Singapura, França, Canadá, Reino Unido, Bulgária, Alemanha, Holanda e Índia, de acordo com informações compartilhadas pela NSFOCUS até outubro de 2023.

Além de usar o algoritmo ChaCha20 para criptografar comunicações com o servidor C2, ele também usa um domínio OpenNIC para C2 na tentativa de evitar detecção, técnica anteriormente adotada por outra botnet DDoS baseada em Mirai chamada Fodcha.

Em uma reviravolta interessante, o CatDDoS também compartilha o mesmo par de chave/nonce para o algoritmo ChaCha20 que outras três botnets DDoS chamadas hailBot, VapeBot e Woodman.

XLab afirmou que os ataques são focados principalmente em países como EUA, França, Alemanha, Brasil e China, abrangendo provedores de serviços em nuvem, educação, pesquisa científica, transmissão de informações, administração pública, construção e outras indústrias.

Suspeita-se que os autores originais por trás do malware encerraram suas operações em dezembro de 2023, mas não sem antes disponibilizarem o código fonte para venda em um grupo exclusivo no Telegram.

“Devido à venda ou vazamento do código fonte, surgiram novas variantes, como RebirthLTD, Komaru, Cecilio Network, etc. após o encerramento,” disseram os pesquisadores. “Embora as diferentes variantes possam ser gerenciadas por grupos diferentes, há pouca variação no código, no design de comunicação, nas strings, nos métodos de descriptografia etc.”

Pesquisadores demonstram o DNSBomb

A divulgação ocorre à medida que detalhes emergem sobre uma técnica de ataque de negação de serviço prática e potente denominada DNSBomb (CVE-2024-33655), que, como o nome sugere, explora as consultas e respostas do Sistema de Nomes de Domínio (DNS) para obter um fator de amplificação de 20.000x.

O ataque, em sua essência, capitaliza recursos legítimos de DNS, como limites de taxa de consulta, tempo limite de consulta-resposta, agregação de consultas e tamanho máximo de resposta, para criar inundações cronometradas de respostas usando uma autoridade maliciosa e um resolvedor recursivo vulnerável.

“O DNSBomb explora múltiplos mecanismos de DNS amplamente implementados para acumular consultas DNS que são enviadas a uma baixa taxa, ampliar as consultas em respostas de grande tamanho, e concentrar todas as respostas de DNS em uma explosão pulsante de alto volume curto e periódico para sobrecarregar simultaneamente sistemas-alvo”, disse Xiang Li, candidato a Ph.D. no Laboratório NISL da Universidade Tsinghua.

“A estratégia de ataque envolve falsificar IP de múltiplas consultas DNS para um domínio controlado pelo atacante, em seguida, reter as respostas para agregar várias respostas. O DNSBomb visa sobrecarregar as vítimas com explosões periódicas de tráfego amplificado que são difíceis de detectar.”

Os achados foram apresentados na 45ª edição do Simpósio IEEE sobre Segurança e Privacidade, realizado em São Francisco na semana passada e anteriormente no evento GEEKCON 2023 que ocorreu em Xangai em outubro de 2023.

A Internet Systems Consortium (ISC), que desenvolve e mantém o conjunto de softwares BIND, disse que não é vulnerável ao DNSBomb, acrescentando que as mitigações existentes são suficientes para proteger contra os riscos do ataque.