Ponad 300 celów dziennie
„Cyberprzestępcy powiązani z CatDDoS wykorzystali wiele znanych luk w zabezpieczeniach, aby dostarczyć próbki” – stwierdził zespół QiAnXin XLab. „Dodatkowo zaobserwowano, że maksymalna liczba celów przekracza ponad 300 dziennie”.
Wady wpływają na routery, sprzęt sieciowy i inne urządzenia takich dostawców jak Apache (ActiveMQ, Hadoop, Log4j i RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE i Zyxel. CatDDoS został wcześniej udokumentowany przez QiAnXin i NSFOCUS pod koniec 2023 r., opisując go jako wariant botnetu Mirai zdolny do przeprowadzania ataków DDoS przy użyciu UDP, TCP i innych metod.
Wirus pojawił się po raz pierwszy w sierpniu 2023 r., a jego nazwa wzięła się od odniesień do kotów, takich jak „catddos.pirate” i „password_meow” w kodzie źródłowym artefaktu oraz nazwach domen dowodzenia i kontroli (C2). Według informacji udostępnionych przez NSFOCUS według stanu na październik 2023 r. większość celów ataków tego szkodliwego oprogramowania znajduje się w Chinach, a następnie w USA, Japonii, Singapurze, Francji, Kanadzie, Wielkiej Brytanii, Bułgarii, Niemczech, Holandii i Indiach..
Oprócz wykorzystania algorytmu ChaCha20 do szyfrowania komunikacji z serwerem C2 wykorzystuje on domenę OpenNIC dla serwera C2, próbując uniknąć wykrycia. Jest to technika zastosowana wcześniej przez inny botnet DDoS oparty na Mirai, zwany Fodcha. Co ciekawe, CatDDoS ma również tę samą parę klucz/nonce dla algorytmu ChaCha20, co trzy inne botnety DDoS o nazwach hailBot, VapeBot i Woodman.
Główny cel: USA, Francja, Brazylia, Chiny
XLab stwierdził, że ataki skupiają się głównie na krajach takich jak Stany Zjednoczone, Francja, Niemcy, Brazylia i Chiny i obejmują dostawców usług w chmurze, edukację, badania naukowe, transmisję informacji, administrację publiczną, budownictwo i inne branże.
Podejrzewa się, że pierwotni autorzy szkodliwego oprogramowania zakończyli swoją działalność w grudniu 2023 r., ale nie wcześniej niż wystawienia kodu źródłowego na sprzedaż w dedykowanej grupie Telegramu.
„W wyniku sprzedaży lub wycieku kodu źródłowego po wyłączeniu pojawiły się nowe warianty, takie jak RebirthLTD, Komaru, Cecilio Network itp.” – stwierdzili badacze. „Chociaż różnymi grupami mogą zarządzać różne warianty, różnice w kodzie, projekcie komunikacji, ciągach znaków, metodach deszyfrowania itp. są niewielkie”.
Naukowcy demonstrują DNSBomb
Ujawnienie następuje po ujawnieniu szczegółów praktycznej i skutecznej techniki ataku typu „pulsująca” odmowa usługi (PDoS), zwanej DNSBomb (CVE-2024-33655), która, jak sama nazwa wskazuje, wykorzystuje zapytania do systemu nazw domen (DNS). i odpowiedzi umożliwiające osiągnięcie współczynnika wzmocnienia 20 000x.
Atak w swojej istocie wykorzystuje legalne funkcje DNS, takie jak limity szybkości zapytań, limity czasu odpowiedzi na zapytanie, agregację zapytań i ustawienia maksymalnego rozmiaru odpowiedzi, aby utworzyć czasowe zalewy odpowiedzi przy użyciu złośliwie zaprojektowanego urzędu i podatnego na ataki rekurencyjnego mechanizmu rozpoznawania nazw.
„DNSBomb wykorzystuje wiele szeroko wdrażanych mechanizmów DNS do gromadzenia zapytań DNS wysyłanych z małą szybkością, wzmacniania zapytań w odpowiedzi o dużych rozmiarach i skupiania wszystkich odpowiedzi DNS w krótkim, okresowym impulsie o dużej objętości, aby jednocześnie przytłoczyć systemy docelowe, „Xiang Li, doktorant. kandydat z laboratorium NISL na Uniwersytecie Tsinghua, powiedział.
Na czym polega strategia?
„Strategia ataku polega na fałszowaniu adresów IP wielu zapytań DNS kierowanych do domeny kontrolowanej przez atakującego, a następnie wstrzymywaniu odpowiedzi w celu zagregowania wielu odpowiedzi. Celem DNSBomb jest przytłaczanie ofiar okresowymi seriami zwiększonego ruchu, które są trudne do wykrycia”.
Ustalenia zostały zaprezentowane podczas 45. Sympozjum IEEE na temat bezpieczeństwa i prywatności, które odbyło się w zeszłym tygodniu w San Francisco, a wcześniej podczas wydarzenia GEEKCON 2023, które odbyło się w Szanghaju w październiku 2023 r.
Konsorcjum Internet Systems Consortium (ISC), które opracowuje i utrzymuje pakiet oprogramowania BIND, stwierdziło, że nie jest ono podatne na atak DNSBomb, dodając, że istniejące zabezpieczenia wystarczą, aby zabezpieczyć się przed zagrożeniami stwarzanymi przez atak.
