Ερευνητές ανακάλυψαν ότι, τους τελευταίους τρεις μήνες, οι hackers πίσω από το botnet CatDDoS έχουν εκμεταλλευτεί πάνω από 80 ευπάθειες σε διάφορα λογισμικά για να διεισδύσουν σε ευάλωτες συσκευές και να τις συμπεριλάβουν στο botnet για τη διεξαγωγή επιθέσεων DDoS.
Σύμφωνα με την ομάδα QiAnXin XLab, ο μέγιστος αριθμός στόχων ξεπερνά τους 300+ την ημέρα.
Οι ευπάθειες που εκμεταλλεύονται οι hackers, επηρεάζουν routers, εξοπλισμό δικτύωσης και άλλες συσκευές από προμηθευτές όπως οι Apache (ActiveMQ, Hadoop, Log4j και RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel και άλλοι.
Δείτε επίσης: Το Ebury malware botnet έχει μολύνει 400.000 Linux servers
Το CatDDoS botnet αναλύθηκε στα τέλη του 2023 και είχε παρουσιαστεί ως μια παραλλαγή του γνωστού botnet Mirai, η οποία μπορούσε να εκτελεί επιθέσεις DDoS χρησιμοποιώντας UDP, TCP και άλλες μεθόδους.
Εμφανίστηκε για πρώτη φορά τον Αύγουστο του 2023 και ονομάστηκε CatDDoS λόγω αναφορών που σχετίζονται με γάτες, μέσα στις συμβολοσειρές για command-and-control (C2) domains (π.χ. “catddos.pirate” και “password_meow”).
Οι περισσότεροι στόχοι του CatDDoS botnet βρίσκονται στην Κίνα. Ακολουθούν οι ΗΠΑ, Ιαπωνία, Σιγκαπούρη, Γαλλία, Καναδάς, Ηνωμένο Βασίλειο, Βουλγαρία, Γερμανία, Ολλανδία και Ινδία.
Οι χειριστές του προσπαθούν να αποφύγουν την ανίχνευση χρησιμοποιώντας διάφορες μεθόδους, όπως τον αλγόριθμο ChaCha20 για την κρυπτογράφηση των επικοινωνιών με τον διακομιστή C2, χρήση ενός OpenNIC domain για το C2 και άλλα.
Δείτε επίσης: To botnet Phorpiex έστειλε εκατ. emails για διανομή του LockBit Black ransomware
Αξίζει να σημειωθεί ότι το CatDDoS μοιράζεται επίσης το ίδιο ζεύγος key/nonce για τον αλγόριθμο ChaCha20 με τρία άλλα botnet DDoS που ονομάζονται hailBot, VapeBot και Woodman.
Η XLab είπε ότι οι νέες επιθέσεις επικεντρώνονται κυρίως σε χώρες όπως οι ΗΠΑ, η Γαλλία, η Γερμανία, η Βραζιλία και η Κίνα και στοχεύουν παρόχους υπηρεσιών cloud και τομείς όπως η εκπαίδευση, η επιστημονική έρευνα, η μετάδοση πληροφοριών, η δημόσια διοίκηση, οι κατασκευές και άλλες βιομηχανίες.
Υπάρχει η υποψία ότι οι αρχικοί δημιουργοί πίσω από το κακόβουλο λογισμικό σταμάτησαν τις δραστηριότητές τους τον Δεκέμβριο του 2023, αλλά έθεσαν τον source code προς πώληση σε μια ομάδα Telegram.
“Λόγω της πώλησης ή της διαρροής του πηγαίου κώδικα, προέκυψαν νέες παραλλαγές, όπως RebirthLTD, Komaru, Cecilio Network κ.λπ. μετά το κλείσιμο“, ανέφεραν οι ερευνητές. “Αν και οι διαφορετικές παραλλαγές μπορεί να διαχειρίζονται από διαφορετικές ομάδες, υπάρχει μικρή διαφοροποίηση στον κώδικα, τον σχεδιασμό επικοινωνίας, τις συμβολοσειρές, τις μεθόδους αποκρυπτογράφησης κ.λπ“.
Δείτε επίσης: Ευπάθειες Ivanti χρησιμοποιούνται για ανάπτυξη του Mirai botnet
Προστασία από malware botnet
Για να προστατευτείτε από το CatDDoS και άλλα Botnet, είναι σημαντικό να διατηρείτε το λογισμικό και το λειτουργικό σύστημα της συσκευής σας ενημερωμένα. Οι επιθέσεις botnet συχνά εκμεταλλεύονται γνωστές ευπάθειες.
Επιπλέον, είναι σημαντικό να χρησιμοποιείτε ένα αξιόπιστο πρόγραμμα ασφάλειας που παρέχει προστασία από malware και botnets. Αυτό θα πρέπει να περιλαμβάνει την πραγματοποίηση τακτικών σαρώσεων για την ανίχνευση και την απομάκρυνση τυχόν επιθέσεων.
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά είναι άλλος ένας τρόπος για να προστατευθείτε από το Botnet (π.χ. CatDDoS). Οι επιθέσεις botnet συχνά προσπαθούν να μαντέψουν τους κωδικούς πρόσβασης, οπότε η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί να βοηθήσει στην προστασία των λογαριασμών σας.
Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους οι επιθέσεις botnet λειτουργούν και των τεχνικών που χρησιμοποιούν μπορεί να σας βοηθήσει να αναγνωρίσετε και να αποφύγετε τις επιθέσεις.
Πηγή: thehackernews.com
