За последние три месяца злоумышленники, стоящие за ботнетом вредоносных программ CatDDoS, воспользовались более чем 80 известными недостатками безопасности в различном программном обеспечении, чтобы проникнуть на уязвимые устройства и подключить их к ботнету для проведения распределенных атак типа "отказ в обслуживании" (DDoS).
"Образцы банд, связанных с CatDDoS, использовали большое количество известных уязвимостей для доставки образцов", - сказала команда QiAnXin XLab. "Кроме того, было замечено, что максимальное количество целей превышает 300+ в день".
Недостатки затрагивают маршрутизаторы, сетевое оборудование и другие устройства таких производителей, как Apache (ActiveMQ, Hadoop, Log4j и RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE и Zyxel, среди прочих.
CatDDoS был ранее задокументирован QiAnXin и NSFOCUS в конце 2023 года, описывая его как вариант ботнета Mirai, способный выполнять DDoS-атаки с использованием UDP, TCP и других методов.
Впервые появившаяся в дикой природе в августе 2023 года вредоносная программа получила свое название из-за ссылок, связанных с cat, в строках типа "catddos.pirate" и "password_meow" для доменов командования и контроля (C2).
Согласно информации, предоставленной NSFOCUS по состоянию на октябрь 2023 года, большинство целей атаки вредоносного ПО расположены в Китае, за которыми следуют США, Япония, Сингапур, Франция, Канада, Великобритания, Болгария, Германия, Нидерланды и Индия.
Помимо использования алгоритма ChaCha20 для шифрования сообщений с сервером C2, он использует открытый домен для C2 в попытке избежать обнаружения, метод, ранее принятый другим DDoS-ботнетом Mirai под названием Fodcha.
Интересно, что CatDDoS также использует ту же пару ключ / одноразовый номер для алгоритма ChaCha20, что и три других DDoS-ботнета hailBot, VapeBot и Woodman.
XLab заявила, что атаки в первую очередь сосредоточены на таких странах, как США, Франция, Германия, Бразилия и Китай, охватывая поставщиков облачных услуг, образование, научные исследования, передачу информации, государственное управление, строительство и другие отрасли.
Есть подозрение, что первоначальные авторы вредоносного ПО прекратили свою деятельность в декабре 2023 года, но не раньше, чем выставили исходный код на продажу в специальной группе Telegram.
"Из-за продажи или утечки исходного кода появились новые варианты, такие как RebirthLTD, Komaru, Cecilio Network и т.д. После отключения", - сказали исследователи. "Хотя разные варианты могут управляться разными группами, существуют небольшие различия в коде, конструкции связи, строках, методах дешифрования и т.д.".
Атака, по своей сути, использует законные функции DNS, такие как ограничения скорости запросов, тайм-ауты между запросами и ответами, агрегирование запросов и настройки максимального размера ответов, чтобы создавать временные потоки ответов, используя злоумышленно разработанные полномочия и уязвимый рекурсивный распознаватель.
"DNSBomb использует множество широко реализованных механизмов DNS для накопления DNS-запросов, отправляемых с низкой скоростью, усиления запросов до ответов большого размера и концентрации всех DNS-ответов в коротком периодическом импульсном пакете большой громкости, чтобы одновременно подавлять целевые системы", - сказал Сян Ли, кандидат наук из Лаборатории NISL Университета Цинхуа.
"Стратегия атаки включает подмену IP-адресов несколькими DNS-запросами к домену, контролируемому злоумышленником, затем удержание ответов для объединения нескольких ответов. Цель DNSBomb - ошеломить жертв периодическими всплесками усиленного трафика, которые сложно обнаружить."
Результаты были представлены на 45-м симпозиуме IEEE по безопасности и конфиденциальности, состоявшемся в Сан-Франциско на прошлой неделе, а ранее - на мероприятии GEEKCON 2023, которое состоялось в Шанхае в октябре 2023 года.
Консорциум Internet Systems Consortium (ISC), который разрабатывает и поддерживает программный пакет BIND, сказал, что он не уязвим для DNSBomb, добавив, что существующих средств защиты достаточно для снижения рисков, связанных с атакой.
"Образцы банд, связанных с CatDDoS, использовали большое количество известных уязвимостей для доставки образцов", - сказала команда QiAnXin XLab. "Кроме того, было замечено, что максимальное количество целей превышает 300+ в день".
Недостатки затрагивают маршрутизаторы, сетевое оборудование и другие устройства таких производителей, как Apache (ActiveMQ, Hadoop, Log4j и RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE и Zyxel, среди прочих.
CatDDoS был ранее задокументирован QiAnXin и NSFOCUS в конце 2023 года, описывая его как вариант ботнета Mirai, способный выполнять DDoS-атаки с использованием UDP, TCP и других методов.
Впервые появившаяся в дикой природе в августе 2023 года вредоносная программа получила свое название из-за ссылок, связанных с cat, в строках типа "catddos.pirate" и "password_meow" для доменов командования и контроля (C2).
Согласно информации, предоставленной NSFOCUS по состоянию на октябрь 2023 года, большинство целей атаки вредоносного ПО расположены в Китае, за которыми следуют США, Япония, Сингапур, Франция, Канада, Великобритания, Болгария, Германия, Нидерланды и Индия.
Помимо использования алгоритма ChaCha20 для шифрования сообщений с сервером C2, он использует открытый домен для C2 в попытке избежать обнаружения, метод, ранее принятый другим DDoS-ботнетом Mirai под названием Fodcha.
Интересно, что CatDDoS также использует ту же пару ключ / одноразовый номер для алгоритма ChaCha20, что и три других DDoS-ботнета hailBot, VapeBot и Woodman.
XLab заявила, что атаки в первую очередь сосредоточены на таких странах, как США, Франция, Германия, Бразилия и Китай, охватывая поставщиков облачных услуг, образование, научные исследования, передачу информации, государственное управление, строительство и другие отрасли.
Есть подозрение, что первоначальные авторы вредоносного ПО прекратили свою деятельность в декабре 2023 года, но не раньше, чем выставили исходный код на продажу в специальной группе Telegram.
"Из-за продажи или утечки исходного кода появились новые варианты, такие как RebirthLTD, Komaru, Cecilio Network и т.д. После отключения", - сказали исследователи. "Хотя разные варианты могут управляться разными группами, существуют небольшие различия в коде, конструкции связи, строках, методах дешифрования и т.д.".
Исследователи демонстрируют DNSBomb
Раскрытие происходит после появления подробностей о практичной и мощной технике атаки типа "пульсирующий" отказ в обслуживании (PDOs), получившей название DNSBomb (CVE-2024-33655), которая, как следует из названия, использует запросы и ответы Системы доменных имен (DNS) для достижения коэффициента усиления в 20 000 раз.Атака, по своей сути, использует законные функции DNS, такие как ограничения скорости запросов, тайм-ауты между запросами и ответами, агрегирование запросов и настройки максимального размера ответов, чтобы создавать временные потоки ответов, используя злоумышленно разработанные полномочия и уязвимый рекурсивный распознаватель.
"DNSBomb использует множество широко реализованных механизмов DNS для накопления DNS-запросов, отправляемых с низкой скоростью, усиления запросов до ответов большого размера и концентрации всех DNS-ответов в коротком периодическом импульсном пакете большой громкости, чтобы одновременно подавлять целевые системы", - сказал Сян Ли, кандидат наук из Лаборатории NISL Университета Цинхуа.
"Стратегия атаки включает подмену IP-адресов несколькими DNS-запросами к домену, контролируемому злоумышленником, затем удержание ответов для объединения нескольких ответов. Цель DNSBomb - ошеломить жертв периодическими всплесками усиленного трафика, которые сложно обнаружить."
Результаты были представлены на 45-м симпозиуме IEEE по безопасности и конфиденциальности, состоявшемся в Сан-Франциско на прошлой неделе, а ранее - на мероприятии GEEKCON 2023, которое состоялось в Шанхае в октябре 2023 года.
Консорциум Internet Systems Consortium (ISC), который разрабатывает и поддерживает программный пакет BIND, сказал, что он не уязвим для DNSBomb, добавив, что существующих средств защиты достаточно для снижения рисков, связанных с атакой.
