CatDDoS kötü amaçlı yazılım botnet’inin arkasındaki tehdit aktörleri, son üç ay içinde çeşitli yazılımlardaki bilinen 80’den fazla güvenlik açığından yararlanarak savunmasız cihazlara sızdı ve bunları dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek üzere bir botnet’e dahil etti.
QiAnXin XLab ekibi “CatDDoS ile ilgili çetelerin örnekleri, örnekleri teslim etmek için çok sayıda bilinen güvenlik açığını kullandı.” söz konusu. “Ayrıca günlük maksimum hedef sayısının 300’ün üzerinde olduğu da gözlemlendi.”
Kusurlar, Apache (ActiveMQ, Hadoop, Log4j ve RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase gibi satıcıların yönlendiricilerini, ağ donanımlarını ve diğer cihazlarını etkiliyor , NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE ve Zyxel ve diğerleri.
CatDDoS daha önce belgelenmişti QiAnXin ve 2023’ün sonlarında NSFOCUS, onu UDP, TCP ve diğer yöntemleri kullanarak DDoS saldırıları gerçekleştirebilen bir Mirai botnet çeşidi olarak tanımlıyor.
İlk kez Ağustos 2023’te ortaya çıkan kötü amaçlı yazılım, adını komut ve kontrol (C2) alanları için “catddos.pirate” ve “password_meow” gibi dizelerdeki kedi ile ilgili referanslardan alıyor.
NSFOCUS’un Ekim 2023 itibarıyla paylaştığı bilgilere göre, kötü amaçlı yazılımın saldırı hedeflerinin çoğunluğu Çin’de bulunuyor ve onu ABD, Japonya, Singapur, Fransa, Kanada, İngiltere, Bulgaristan, Almanya, Hollanda ve Hindistan izliyor. .
C2 sunucusuyla iletişimi şifrelemek için ChaCha20 algoritmasını kullanmanın yanı sıra, daha önce Fodcha adlı başka bir Mirai tabanlı DDoS botnet’i tarafından benimsenen bir teknik olan, tespitten kaçınmak amacıyla C2 için bir OpenNIC etki alanından yararlanıyor.
İlginç bir şekilde CatDDoS ayrıca ChaCha20 algoritması için hailBot, VapeBot ve Woodman adlı diğer üç DDoS botnet’iyle aynı anahtar/nonce çiftini paylaşıyor.
XLab, saldırıların öncelikle ABD, Fransa, Almanya, Brezilya ve Çin gibi bulut hizmet sağlayıcıları, eğitim, bilimsel araştırma, bilgi iletimi, kamu yönetimi, inşaat ve diğer endüstrileri kapsayan ülkelere odaklandığını söyledi.
Kötü amaçlı yazılımın arkasındaki orijinal yazarların, Aralık 2023’te faaliyetlerini durdurduğundan şüpheleniliyor, ancak bu, kaynak kodunu özel bir Telegram grubunda satışa sunmadan önce değil.
Araştırmacılar, “Kaynak kodunun satışı veya sızdırılması nedeniyle, kapatmanın ardından RebirthLTD, Komaru, Cecilio Network vb. gibi yeni varyantlar ortaya çıktı” dedi. “Farklı varyantlar farklı gruplar tarafından yönetilebilse de kodda, iletişim tasarımında, dizelerde, şifre çözme yöntemlerinde vb. çok az değişiklik vardır.”
Araştırmacılar DNS Bombasını Gösteriyor
Açıklama, DNSBomb (CVE-2024-33655) olarak adlandırılan ve adından da anlaşılacağı gibi Etki Alanı Adı Sistemi (DNS) sorgularından yararlanan pratik ve güçlü bir “darbeli” hizmet reddi (PDoS) saldırı tekniği hakkında ayrıntıların ortaya çıkmasıyla geldi. ve 20.000x’lik bir amplifikasyon faktörüne ulaşmak için yanıtlar.
Saldırı, özünde, kötü niyetli olarak tasarlanmış bir otorite ve savunmasız bir özyinelemeli çözümleyici kullanarak zamanlanmış yanıt akınları oluşturmak için sorgu hızı sınırları, sorgu-yanıt zaman aşımları, sorgu toplama ve maksimum yanıt boyutu ayarları gibi meşru DNS özelliklerinden yararlanır.
“DNSBomb, düşük hızda gönderilen DNS sorgularını toplamak, sorguları büyük boyutlu yanıtlara dönüştürmek ve tüm DNS yanıtlarını eş zamanlı olarak hedef sistemleri bunaltmak için kısa, yüksek hacimli periyodik darbeli patlamaya yoğunlaştırmak için yaygın olarak uygulanan çok sayıda DNS mekanizmasından yararlanır. ” Xiang Li, doktora öğrencisi. Tsinghua Üniversitesi NISL Laboratuvarı adayı, söz konusu.
“Saldırı stratejisi, saldırgan tarafından kontrol edilen bir etki alanına birden fazla DNS sorgusunun IP sahtekarlığını yapmayı ve ardından birden fazla yanıtın toplanması için yanıtların durdurulmasını içeriyor. DNSBomb, mağdurları tespit edilmesi zor olan periyodik güçlendirilmiş trafik patlamalarıyla bunaltmayı amaçlıyor.”
Bulgular şunlardı: sundu Geçtiğimiz hafta San Francisco’da düzenlenen 45. IEEE Güvenlik ve Gizlilik Sempozyumu’nda ve daha önce Ekim 2023’te Şanghay’da düzenlenen GEEKCON 2023 etkinliğinde.
BIND yazılım paketini geliştiren ve sürdüren İnternet Sistemleri Konsorsiyumu (ISC), söz konusu DNSBomb’a karşı savunmasız değil ve mevcut azaltımların saldırının oluşturduğu risklere karşı koruma sağlamak için yeterli olduğunu da ekliyor.
