Araştırmacılar, CatDDoS adı verilen Mirai dağıtılmış hizmet reddi (DDoS) botnet varyantını içeren son zamanlarda faaliyetlerde bir artış tespit etti.
Saldırılar birden fazla sektördeki kuruluşları hedef aldı ve ABD, Fransa, Almanya, Brezilya ve Çin’deki bulut satıcılarını, iletişim sağlayıcılarını, inşaat şirketlerini, bilim ve araştırma kuruluşlarını ve eğitim kurumlarını içeriyor.
Çoklu Varyantlar
Kötü amaçlı yazılım ilk olarak geçtiğimiz Ağustos ayında ortaya çıktı ve nispeten üretken bir tehdit olarak Eylül 2023’te ortaya çıktı. CatDDoS’un Aralık ayında büyük ölçüde gözden kaybolması, Çin’deki QiAnXin XLab’daki tehdidi takip eden araştırmacıların, kötü amaçlı yazılım operatörlerinin fişini çekmiş olabileceğini varsaymalarına yol açtı.
İçinde bu hafta yayınlanan raporQiAnXin, araştırmacılarının son üç ay içinde CatDDoS varyantlarını kullanan birden fazla çeteyi gözlemlediğini söyledi. QiAnXin, RebirthLTD, Komaru ve Cecilio Network dahil olmak üzere çeşitli isimler altında takip edilen varyantların operatörlerinin yeni kampanyalarında şu ana kadar en az 80 farklı güvenlik açığından yararlandığını söyledi.
QiAnXin bir blog yazısında “Sistemimiz CatDDoS ile ilgili çetelerin aktif kaldığını gözlemledi” dedi. “Ayrıca günlük maksimum hedef sayısının 300’ün üzerinde olduğu da gözlemlendi.”
CatDDoS şemsiyesi altında istismar edilen güvenlik açıkları, onlarca ürün ve teknolojiyi etkiliyor. Apache ActiveMQ Sunucuları, Apache Log4jCisco Linksys, Jenkins sunucular ve NetGear yönlendiricileri.
Güvenlik açıklarının çoğu yakın zamanda ortaya çıktı, yani geçen yıl açıklandılar. Ancak CatDDoS tehdit aktörlerinin yararlandığı nispeten eski çok sayıda başka tehdit de var. Bunların arasında CVE-2010-2506Linksys ürün yazılımındaki yaklaşık 14 yıllık bir güvenlik açığı; CVE-2013-1599D-Link IP kameralarda on yıldan fazla süredir var olan bir kusur; Ve CVE-2011-5010Ctek SkySouters’ta 2011’de ortaya çıkan bir uzaktan kod yürütme güvenlik açığı.
QuAnXin, “Henüz bazı güvenlik açıklarını tespit etmedik, ancak örneklerin yürütülmesi parametrelerine bağlı olarak sıfır gün güvenlik açığı olabilir” dedi. Şirket, araştırmacılarının analiz ettiği CatDDoS ile ilgili telemetriye işaret ederek, “Örneğin, ‘skylab0day’ ve ‘Cacti-n0day’ numunenin çalışma parametrelerinde gösteriliyor.” dedi.
QuAnXin’e göre. CatDDoS aktörleri, son saldırı dalgasında günde 300’den fazla hedefi tehlikeye atıyor.
Güvenlik sağlayıcısının gözlemlediği CatDDoS varyantlarının tümü, orijinal kötü amaçlı yazılımın yazarlarının birisinin kendilerinden yazılımı satın alması için nafile bir teklif verdikten sonra Aralık ayında kamuya açıkladığı kaynak koduna dayanıyor gibi görünüyor. QuAnXin, “Farklı değişkenler farklı gruplar tarafından yönetilebilse de kodda, iletişim tasarımında, dizelerde, şifre çözme yöntemlerinde vb. çok az değişiklik var” dedi. “Böylece bu varyantları, kabul etmek istemeseler bile CatDDoS ile ilgili çetelerde birleştirdik.”
Her Zamanki Gibi Güçlü Bir Tehdit
DDoS kötü amaçlı yazılımları ve botnet’ler bir sorun olmaya devam ediyor Dünya çapındaki kuruluşlar için güçlü bir tehdit. Pek çok kuruluş, DDoS ile ilgili ani trafik artışlarına uyum sağlamak için ağ altyapılarında önemli miktarda artıklık oluşturmuş olsa da, tehdit aktörleri de oyunlarını geliştirdi.
A Nexusguard’ın son raporu tehdit aktörlerinin saldırı odaklarını bireysel bilgisayarlara ve sunuculara kaydırdığını gösterdi. Bu sistemler, Nexusguard’ın geçen yıl tespit ettiği DDoS saldırı girişimlerinin %92’sinde birincil hedefti; bu oran bir önceki yıla göre %68’di. Şirket, odaktaki bu değişikliği Windows sistemlerindeki yeni güvenlik açıklarına ve saldırıların bu sistemleri tehlikeye atmasını kolaylaştıran kötü amaçlı yazılımların varlığına bağladı.
Önemli bir şekilde, DDoS saldırı hacimleri 2023’te %55 düşmüş olsa da bireysel saldırıların boyutu %233 arttı. Bu saldırıların çoğunda tehdit aktörleri saldırılara devam etti. NTP amplifikasyonuna güvenin — saldırı trafiğini büyük ölçüde artıran bir teknik. Ancak Nexusguard, saldırı trafiği hacimlerini artırmak için DNS yükseltme ve HTTPS taşma yöntemleri gibi diğer tekniklere de giderek daha fazla güvendiklerini söyledi.