CatDDoS: новая вариация ботнета Mirai атакует по 300+ целей ежедневно

За последние три месяца хакеры, стоящие за ботнетом CatDDoS, использовали более 80 известных уязвимостей в различных программных продуктах, чтобы произвести заражение устройств и включить их в свою сеть для проведения атак типа «отказ в обслуживании» (DDoS).

По данным исследователей из компании QiAnXin, образцы, связанные с CatDDoS, используют многочисленные известные уязвимости. Максимальное количество целей, атакованных в день, превышает 300.

Уязвимости затрагивают маршрутизаторы, сетевое оборудование и другие устройства таких производителей, как Apache (ActiveMQ, Hadoop, Log4j, и RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE и Zyxel.

CatDDoS был впервые описан QiAnXin и NSFOCUS в конце 2023 года как вариант ботнета Mirai, способный проводить DDoS-атаки с использованием протоколов UDP, TCP и других методов. Впервые обнаруженный в августе 2023 года, этот вредоносный софт получил свое название благодаря строкам вроде «catddos.pirate» и «password_meow» в доменах командного центра.

Большинство атакованных объектов расположены в Китае, США, Японии, Сингапуре, Франции, Канаде, Великобритании, Болгарии, Германии, Нидерландах и Индии.

Кроме использования алгоритма ChaCha20 для шифрования связи с сервером командного центра, ботнет применяет домен OpenNIC, чтобы избежать обнаружения. Этот метод ранее использовался другим ботнетом на основе Mirai под названием Fodcha.

CatDDoS также использует ту же пару ключа и одноразового номера для алгоритма ChaCha20, что и три других ботнета: hailBot, VapeBot и Woodman.

Согласно QiAnXin XLab, атаки CatDDoS нацелены на облачные сервисы, сферу образования, научные исследования, информационные технологии, государственное управление, строительство и прочие отрасли.

Предполагается, что авторы вредоносного ПО прекратили свою деятельность в декабре 2023 года, но перед этим выставили исходный код на продажу в специальной группе в Telegram.

Из-за продажи или утечки исходного кода появились новые варианты ботнетов, такие как RebirthLTD, Komaru, Cecilio Network. Несмотря на то, что различные варианты могут управляться разными группами, в коде, дизайне связи и методах расшифровки мало изменений.

Ситуация с распространением ботнета CatDDoS и ему подобных угроз подчёркивает важность своевременного устранения уязвимостей, постоянного мониторинга угроз и международного сотрудничества в сфере кибербезопасности для защиты цифровой инфраструктуры.