Dağıtılmış Hizmet Reddi (DDoS) saldırılarında hedeflenen sistemlere, sunuculara veya ağlara kötü niyetli trafik akınları, bilgisayar korsanları tarafından aktif olarak istismar edilir.
Bazen DDoS saldırıları, dikkati diğer suç faaliyetlerinden uzaklaştırmak, gasp etmek, rekabet avantajı elde etmek veya ideolojik nedenlerle kullanılır.
Kaynaklar, güvenliği ihlal edilmiş farklı cihazlardan gelen yanlış istekler nedeniyle aynı anda kesilirse, saldırganlar gerçek kullanıcıları etkilenen platformdan etkili bir şekilde kilitleyebilir.
XLab’daki siber güvenlik araştırmacıları yakın zamanda CatDDoS’un aktif olarak 80’den fazla güvenlik açığından yararlandığını ve günde 300’den fazla hedefe saldırdığını keşfetti.
ANYRUN malware sandbox’s 8th Birthday Special Offer: Grab 6 Months of Free Service
Teknik Analiz
Son gözlemlerle XLab’ın CTIA sistemi, CatDDoS ile ilgili sendikasyonların oluşturduğu her zaman üretken ve kalıcı tehditler olan çok aktif DDoS botnet’lerini yakından izliyor.
Bu aktörler son üç ay içinde 80’den fazla kampanya güvenlik açığından yararlandı.
Daha da rahatsız edici olanı, bir gün içindeki maksimum hedef sayısının 300’ü aşması, bu DDoS saldırılarının ölçeğini ve ciddiyetini gösteriyor.
XLab’ın verilerine göre son üç ayda CatDDoS’a bağlı gruplar tarafından bilinen 80’den fazla güvenlik açığı kullanıldı.
Parametre adı olarak “Cacti-n0day” ve “skylab0day” kullanılması, 0 günlük açıklardan yararlanabileceklerini gösterir.
Tarihsel veriler, bu aktörlerin küresel olarak, çoğunlukla ABD, Fransa, Almanya, Brezilya ve Çin’deki bulut hizmetleri, eğitim, araştırma, telekomünikasyon, kamu yönetimi ve inşaat sektörlerindeki kurbanları hedef aldığını gösteriyor.
Bu üretken DDoS botnet operatörleri, çok sayıda güvenlik açığının geniş çapta dağıtılması ve kullanılması nedeniyle kalıcı bir tehdit olmaya devam ediyor.
.webp)
Kediyle ilgili takma adıyla bilinen bir Mirai çeşidi olan CatDDoS botnet, Shanghai Network Technology Co., LTD’ye 60 saniyelik çok sayıda DDoS saldırısı başlattı. 7 Nisan 2024 saat 21.00’den sonra “atk_0” olarak etiketlendi.
Raporlara göre, bir kaynak kodu sızıntısının ardından Aralık 2023’te kapandı, ancak güvenliği ihlal edilen kod tabanından yararlanan RebirthLTD ve Komaru gibi diğer sürümler hemen ortaya çıktı.
Bu varyantlar, toplu olarak “CatDDoS ile ilgili çeteler” olarak adlandırılan farklı gruplar tarafından işletiliyor olsalar da kod, iletişim tasarımı ve şifre çözme yöntemleri açısından pek çok benzerliğe sahipti.
OpenNIC alanları, sırasıyla chacha20 şifrelemesini kullanan “v-2.0.4” ve “v-Rebirth” aktif varyantları tarafından kullanıldı.
Genel olarak, orijinalden yapılan değişiklikler çoğunlukla analizi engellemek için sembollerin kaldırılması veya kabukların değiştirilmesi gibi gizleme tekniklerine odaklandı.
Feshedilmiş Aterna grubu tarafından oluşturulduğuna inanılan v-snow_slide çeşidi, özellikle çıktı “kar kaydırağı”, çay şifrelemesi, OpenNIC C2 alanları ve paylaşılan iletişim protokollerinde bazı Fodcha kodu ortak özelliklerini korudu.
İlginçtir ki C2 check-in’leri sırasında güvenlik firmalarını hedef alan “N3tL4b360G4y” gibi alay hareketlerini kullandı.
Araştırmacılar ayrıca gruplar arasında benzer kötü amaçlı yazılım kaynak kodunun küçük değişikliklerle yeniden kullanılmasını içeren “şablon paylaşımı” örnekleri de buldu; bu, kod homolojisiyle sonuçlanan günlük bir IoT botnet etkinliğidir.
En az üç aile daha aynı anahtarla CatDDoS’un chacha20 algoritmasını kullandı.
Bunun yanı sıra, diğer varyantların C2 altyapısı DDoS hedefleri olarak kullanıldı ve bu durum, IoT botnet ortamının tutarlı özellikleri olan, kaynaklar için rekabet eden operatörler arasındaki ölümcül çatışmalara işaret etti.
Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers