Os agentes de ameaças por trás do botnet de malware CatDDoS exploraram mais de 80 falhas de segurança conhecidas em vários softwares nos últimos três meses para se infiltrar em dispositivos vulneráveis e cooptá-los em um botnet para conduzir ataques distribuídos de negação de serviço (DDoS).
“Amostras de gangues relacionadas ao CatDDoS usaram um grande número de vulnerabilidades conhecidas para entregar amostras”, disse a equipe do QiAnXin XLab. “Além disso, observou-se que o número máximo de alvos ultrapassa mais de 300 por dia.”
As falhas afetam roteadores, equipamentos de rede e outros dispositivos de fornecedores como Apache (ActiveMQ, Hadoop, Log4j e RocketMQ), Cacti, Cisco, D-Hyperlink, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase , NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Hyperlink, ZTE e Zyxel, entre outros.
CatDDoS foi documentado anteriormente por QiAnXin e NSFOCUS no ultimate de 2023, descrevendo-o como uma variante do botnet Mirai capaz de realizar ataques DDoS usando UDP, TCP e outros métodos.
Surgido pela primeira vez em agosto de 2023, o malware recebe esse nome devido a referências relacionadas a gatos em strings como “catddos.pirate” e “password_meow” para domínios de comando e controle (C2).
A maioria dos alvos de ataque do malware está localizada na China, seguida pelos EUA, Japão, Cingapura, França, Canadá, Reino Unido, Bulgária, Alemanha, Holanda e Índia, de acordo com informações compartilhadas pela NSFOCUS em outubro de 2023. .
Além de utilizar o algoritmo ChaCha20 para criptografar as comunicações com o servidor C2, ele utiliza um domínio OpenNIC para C2 na tentativa de evitar a detecção, técnica anteriormente adotada por outro botnet DDoS baseado em Mirai chamado Fodcha.
Em uma reviravolta interessante, CatDDoS também compartilha o mesmo par chave/nonce para o algoritmo ChaCha20 que três outras botnets DDoS chamadas hailBot, VapeBot e Woodman.
XLab disse que os ataques se concentram principalmente em países como EUA, França, Alemanha, Brasil e China, abrangendo provedores de serviços em nuvem, educação, pesquisa científica, transmissão de informações, administração pública, construção e outras indústrias.
Suspeita-se que os autores originais do malware encerraram suas operações em dezembro de 2023, mas não antes de colocar o código-fonte à venda em um grupo dedicado do Telegram.
“Devido à venda ou vazamento do código-fonte, surgiram novas variantes, como RebirthLTD, Komaru, Cecilio Community, and many others. após o desligamento”, disseram os pesquisadores. “Embora as diferentes variantes possam ser gerenciadas por grupos diferentes, há pouca variação no código, design de comunicação, strings, métodos de descriptografia, and many others.”
Pesquisadores demonstram DNSBomb
A divulgação ocorre no momento em que surgem detalhes sobre uma técnica de ataque de negação de serviço (PDoS) “pulsante” prática e potente chamada DNSBomb (CVE-2024-33655) que, como o nome indica, explora as consultas do Sistema de Nomes de Domínio (DNS). e respostas para atingir um fator de amplificação de 20.000x.
O ataque, em sua essência, capitaliza recursos legítimos do DNS, como limites de taxa de consulta, tempos limite de resposta de consulta, agregação de consulta e configurações de tamanho máximo de resposta para criar inundações cronometradas de respostas usando uma autoridade projetada maliciosamente e um resolvedor recursivo vulnerável.
“DNSBomb explora vários mecanismos DNS amplamente implementados para acumular consultas DNS que são enviadas em uma taxa baixa, amplificar consultas em respostas de grande porte e concentrar todas as respostas DNS em uma explosão pulsante periódica curta e de alto quantity para sobrecarregar simultaneamente os sistemas alvo, ” Xiang Li, Ph.D. candidato no Laboratório NISL da Universidade de Tsinghua, disse.
“A estratégia de ataque envolve a falsificação de IP de múltiplas consultas de DNS para um domínio controlado pelo invasor e, em seguida, a retenção de respostas para agregar múltiplas respostas. O DNSBomb visa sobrecarregar as vítimas com explosões periódicas de tráfego amplificado que são difíceis de detectar”.
As descobertas foram apresentadas no 45º Simpósio IEEE sobre Segurança e Privacidade, realizado em São Francisco na semana passada, e anteriormente no evento GEEKCON 2023, que ocorreu em Xangai em outubro de 2023.
O Web Techniques Consortium (ISC), que desenvolve e mantém o conjunto de software program BIND, disse que não é vulnerável ao DNSBomb, acrescentando que as mitigações existentes são suficientes para proteger contra os riscos representados pelo ataque.
