CatDDoS kötü amaçlı yazılım botnet’inin arkasındaki tehdit aktörleri, son üç ay içinde çeşitli yazılımlardaki bilinen 80’den fazla güvenlik açığından yararlanarak savunmasız cihazlara sızdı ve bunları dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek üzere bir botnet’e dahil etti.
QiAnXin XLab ekibi, “CatDDoS ile ilgili çetelerin örnekleri, örnekleri teslim etmek için çok sayıda bilinen güvenlik açığını kullandı” dedi. “Ayrıca günlük maksimum hedef sayısının 300’ün üzerinde olduğu da gözlemlendi.”
Kusurlar, Apache (ActiveMQ, Hadoop, Log4j ve RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase gibi satıcıların yönlendiricilerini, ağ donanımlarını ve diğer cihazlarını etkiliyor , NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE ve Zyxel ve diğerleri.
CatDDoS daha önce 2023’ün sonlarında QiAnXin ve NSFOCUS tarafından belgelenmiş ve bunun UDP, TCP ve diğer yöntemleri kullanarak DDoS saldırıları gerçekleştirebilen bir Mirai botnet çeşidi olduğu açıklanmıştı.
İlk kez Ağustos 2023’te ortaya çıkan kötü amaçlı yazılım, adını komut ve kontrol (C2) alanları için “catddos.pirate” ve “password_meow” gibi dizelerdeki kedi ile ilgili referanslardan alıyor.
NSFOCUS’un Ekim 2023 itibarıyla paylaştığı bilgilere göre, kötü amaçlı yazılımın saldırı hedeflerinin çoğunluğu Çin’de bulunuyor ve onu ABD, Japonya, Singapur, Fransa, Kanada, İngiltere, Bulgaristan, Almanya, Hollanda ve Hindistan izliyor. .
C2 sunucusuyla iletişimi şifrelemek için ChaCha20 algoritmasını kullanmanın yanı sıra, daha önce Fodcha adlı başka bir Mirai tabanlı DDoS botnet’i tarafından benimsenen bir teknik olan, tespitten kaçınmak amacıyla C2 için bir OpenNIC etki alanından yararlanıyor.
İlginç bir şekilde CatDDoS ayrıca ChaCha20 algoritması için hailBot, VapeBot ve Woodman adlı diğer üç DDoS botnet’iyle aynı anahtar/nonce çiftini paylaşıyor.
XLab, saldırıların öncelikle ABD, Fransa, Almanya, Brezilya ve Çin gibi bulut hizmet sağlayıcıları, eğitim, bilimsel araştırma, bilgi iletimi, kamu yönetimi, inşaat ve diğer endüstrileri kapsayan ülkelere odaklandığını söyledi.
Kötü amaçlı yazılımın arkasındaki orijinal yazarların, Aralık 2023’te faaliyetlerini durdurduğundan şüpheleniliyor, ancak bu, kaynak kodunu özel bir Telegram grubunda satışa sunmadan önce değil.
Araştırmacılar, “Kaynak kodunun satışı veya sızdırılması nedeniyle, kapatmanın ardından RebirthLTD, Komaru, Cecilio Network vb. gibi yeni varyantlar ortaya çıktı” dedi. “Farklı değişkenler farklı gruplar tarafından yönetilebilse de kodda, iletişim tasarımında, dizelerde, şifre çözme yöntemlerinde vb. çok az değişiklik vardır.”
Araştırmacılar DNS Bombasını Gösteriyor
Açıklama, DNSBomb (CVE-2024-33655) olarak adlandırılan ve adından da anlaşılacağı gibi Etki Alanı Adı Sistemi (DNS) sorgularından yararlanan pratik ve güçlü bir “darbeli” hizmet reddi (PDoS) saldırı tekniği hakkında ayrıntıların ortaya çıkmasıyla geldi. ve 20.000x amplifikasyon faktörüne ulaşmak için yanıtlar.
Saldırı, özünde, kötü niyetli olarak tasarlanmış bir otorite ve savunmasız bir özyinelemeli çözümleyici kullanarak zamanlanmış yanıt akınları oluşturmak için sorgu hızı sınırları, sorgu-yanıt zaman aşımları, sorgu toplama ve maksimum yanıt boyutu ayarları gibi meşru DNS özelliklerinden yararlanır.
“DNSBomb, düşük hızda gönderilen DNS sorgularını toplamak, sorguları büyük boyutlu yanıtlara dönüştürmek ve tüm DNS yanıtlarını eş zamanlı olarak hedef sistemleri bunaltmak için kısa, yüksek hacimli periyodik darbeli patlamaya yoğunlaştırmak için yaygın olarak uygulanan çok sayıda DNS mekanizmasından yararlanır. ” Xiang Li, doktora öğrencisi. Tsinghua Üniversitesi NISL Laboratuarındaki aday, şunları söyledi.
“Saldırı stratejisi, saldırgan tarafından kontrol edilen bir etki alanına birden fazla DNS sorgusunun IP sahtekarlığını yapmayı ve ardından birden fazla yanıtın toplanması için yanıtların durdurulmasını içeriyor. DNSBomb, mağdurları tespit edilmesi zor olan periyodik güçlendirilmiş trafik patlamalarıyla bunaltmayı amaçlıyor.”
Bulgular geçen hafta San Francisco’da düzenlenen 45. IEEE Güvenlik ve Gizlilik Sempozyumu’nda ve daha önce Ekim 2023’te Şanghay’da düzenlenen GEEKCON 2023 etkinliğinde sunuldu.
BIND yazılım paketini geliştiren ve sürdüren İnternet Sistemleri Konsorsiyumu (ISC), DNSBomb’a karşı savunmasız olmadığını belirterek, mevcut azaltmaların saldırının oluşturduğu riskleri azaltmak için yeterli olduğunu ekledi.