Você está visualizando atualmente Pesquisadores Alertam Sobre a Botnet CatDDoS e a Técnica de Ataque DDoS DNSBomb

Pesquisadores Alertam Sobre a Botnet CatDDoS e a Técnica de Ataque DDoS DNSBomb

Os responsáveis por trás do malware CatDDoS exploraram mais de 80 falhas de segurança conhecidas em vários softwares nos últimos três meses para infiltrar dispositivos vulneráveis e cooptá-los em um botnet para realizar ataques distribuídos de negação de serviço (DDoS).

“As amostras relacionadas a gangues CatDDoS têm usado uma grande quantidade de vulnerabilidades conhecidas para distribuir amostras,” disse a equipe QiAnXin XLab. “Além disso, o maior número de alvos foi observado superando 300+ por dia.”

As falhas afetam roteadores, equipamentos de rede e outros dispositivos de fornecedores como Apache (ActiveMQ, Hadoop, Log4j e RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE e Zyxel, entre outros.

CatDDoS foi anteriormente documentado pela QiAnXin e NSFOCUS no final de 2023, descrevendo-o como uma variante do botnet Mirai capaz de realizar ataques DDoS usando UDP, TCP e outros métodos.

Aparecendo pela primeira vez em agosto de 2023, o malware recebe seu nome devido a referências relacionadas a gatos, como “catddos.pirate” e “password_meow” no código-fonte do artefato e nos nomes de domínio de comando e controle (C2).

A maioria dos alvos de ataque do malware está localizada na China, seguida pelos EUA, Japão, Singapura, França, Canadá, Reino Unido, Bulgária, Alemanha, Holanda e Índia, de acordo com informações compartilhadas pela NSFOCUS até outubro de 2023.

Além de usar o algoritmo ChaCha20 para criptografar as comunicações com o servidor C2, ele faz uso de um domínio OpenNIC para o C2 na tentativa de evitar a detecção, uma técnica anteriormente adotada por outro botnet de DDoS baseado no Mirai chamado Fodcha.

Em uma reviravolta interessante, o CatDDoS também compartilha o mesmo par chave/nonce para o algoritmo ChaCha20 que outros três botnets de DDoS chamados hailBot, VapeBot e Woodman.

XLab disse que os ataques estão focados principalmente em países como EUA, França, Alemanha, Brasil e China, abrangendo provedores de serviços de nuvem, educação, pesquisa científica, transmissão de informações, administração pública, construção e outras indústrias.

Suspeita-se que os autores originais do malware encerraram suas operações em dezembro de 2023, mas não antes de disponibilizarem o código-fonte para venda em um grupo Telegram dedicado.

“Devido à venda ou vazamento do código-fonte, surgiram novas variantes, como RebirthLTD, Komaru, Cecilio Network, etc. após o fechamento,” disseram os pesquisadores. “Embora as diferentes variantes possam ser gerenciadas por diferentes grupos, há pouca variação no código, design de comunicação, strings, métodos de descriptografia, etc.”

Achou este artigo interessante? Siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo que postamos.