Nghiên cứu cảnh báo về CatDDoS Botnet và DNSBomb Kỹ thuật tấn công DDoS

 

 Các tác nhân đe dọa đằng sau botnet phần mềm độc hại CatDDoS đã khai thác hơn 80 lỗ hổng bảo mật đã biết trong các phần mềm khác nhau trong ba tháng qua để xâm nhập vào các thiết bị dễ bị tổn thương và kết hợp chúng vào một mạng botnet để tiến hành các cuộc tấn công từ chối dịch vụ phân tán (DDoS).

Các lỗ hổng ảnh hưởng đến bộ định tuyến, thiết bị mạng và các thiết bị khác từ các nhà cung cấp như Apache (ActiveMQ, Hadoop, Log4j và RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE và Zyxel, trong số những người khác.

CatDDoS trước đây đã được QiAnXin và NSFOCUS ghi nhận vào cuối năm 2023, mô tả nó là một biến thể botnet Mirai có khả năng thực hiện các cuộc tấn công DDoS bằng UDP, TCP và các phương pháp khác.

Lần đầu tiên xuất hiện trong tự nhiên vào tháng 8/2023, phần mềm độc hại này có tên do các tham chiếu liên quan đến mèo như "catddos.pirate" và "password_meow" trong mã nguồn tạo tác và tên miền lệnh và kiểm soát (C2).

Phần lớn các mục tiêu tấn công của phần mềm độc hại nằm ở Trung Quốc, tiếp theo là Mỹ, Nhật Bản, Singapore, Pháp, Canada, Anh, Bulgaria, Đức, Hà Lan và Ấn Độ, theo thông tin được NSFOCUS chia sẻ tính đến tháng 10/2023.

Bên cạnh việc sử dụng thuật toán ChaCha20 để mã hóa thông tin liên lạc với máy chủ C2, nó sử dụng miền OpenNIC cho C2 trong nỗ lực tránh bị phát hiện, một kỹ thuật trước đây được áp dụng bởi một botnet DDoS dựa trên Mirai khác có tên Fodcha.

Trong một bước ngoặt thú vị, CatDDoS cũng chia sẻ cùng một cặp khóa / nonce cho thuật toán ChaCha20 như ba botnet DDoS khác có tên hailBot, VapeBot và Woodman.

XLab cho biết các cuộc tấn công chủ yếu tập trung vào các quốc gia như Mỹ, Pháp, Đức, Brazil và Trung Quốc, bao gồm các nhà cung cấp dịch vụ đám mây, giáo dục, nghiên cứu khoa học, truyền thông tin, hành chính công, xây dựng và các ngành công nghiệp khác.

Người ta nghi ngờ rằng các tác giả ban đầu đằng sau phần mềm độc hại đã đóng cửa hoạt động của họ vào tháng 12/2023, nhưng không phải trước khi đưa mã nguồn để bán trong một nhóm Telegram chuyên dụng.

Cuộc tấn công, về cốt lõi, tận dụng các tính năng DNS hợp pháp như giới hạn tốc độ truy vấn, thời gian chờ phản hồi truy vấn, tổng hợp truy vấn và cài đặt kích thước phản hồi tối đa để tạo ra lũ phản hồi theo thời gian bằng cách sử dụng thẩm quyền được thiết kế độc hại và trình phân giải đệ quy dễ bị tổn thương.

Những phát hiện này đã được trình bày tại Hội nghị chuyên đề IEEE lần thứ 45 về An ninh và Quyền riêng tư được tổ chức tại San Francisco vào tuần trước và trước đó tại sự kiện GEEKCON 2023 diễn ra tại Thượng Hải vào tháng 10/2023.

Mới hơn Cũ hơn