Los operadores detrás del botnet de malware CatDDoS han utilizado más de 80 vulnerabilidades conocidas en varios programas en los últimos tres meses para infiltrar dispositivos vulnerables y cooptarlos en un botnet para llevar a cabo ataques DDoS.
El equipo de QiAnXin XLab informó que las muestras relacionadas con CatDDoS han explotado un gran número de vulnerabilidades conocidas para entregar las muestras. Se observó que el número máximo de objetivos supera los 300 por día.
Las fallas afectan a una amplia gama de dispositivos y equipos de proveedores populares como Apache (ActiveMQ, Hadoop, Log4j y RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE y Zyxel, entre otros.
CatDDoS fue descubierto por primera vez a finales de 2023 como una variante del botnet Mirai especializado en llevar a cabo ataques DDoS utilizando UDP, TCP y otros métodos.
El malware se asocia con referencias relacionadas con gatos en cadenas como «catddos.pirate» y «password_meow» para dominios de comando y control (C2).
El mayor número de objetivos de ataque del malware se concentra en China, seguido por EE. UU., Japón, Singapur, Francia, Canadá, Reino Unido, Bulgaria, Alemania, Países Bajos e India.
El malware utiliza el algoritmo ChaCha20 para cifrar comunicaciones con el servidor C2 y un dominio OpenNIC para C2, técnicas utilizadas para evadir la detección.
Además, comparte el mismo par de clave/nonce para el algoritmo ChaCha20 que otros tres botnets DDoS llamados hailBot, VapeBot y Woodman.
Los ataques se focalizan principalmente en países como EE. UU., Francia, Alemania, Brasil y China, afectando proveedores de servicios en la nube, educación, investigación científica, transmisión de información, administración pública, construcción y otras industrias.
Aunque se sospecha que los autores originales cerraron sus operaciones en diciembre de 2023, el código fuente fue puesto a la venta en un grupo de Telegram, generando nuevas variantes como RebirthLTD, Komaru, Cecilio Network, etc.
Los investigadores advierten que, aunque las diferentes variantes pueden ser administradas por diferentes grupos, hay poca variación en el código, el diseño de comunicación, cadenas y métodos de desencriptación.
Mientras tanto, los detalles del ataque de denegación de servicio práctico y potente llamado DNSBomb también han salido a la luz. Este ataque aprovecha las consultas y respuestas del Sistema de Nombres de Dominio (DNS) para lograr un factor de amplificación de 20,000x.
DNSBomb aprovecha mecanismos de DNS ampliamente implementados para acumular consultas de DNS, ampliarlas en respuestas de gran tamaño y concentrar todas las respuestas en un estallido pulsante periódico corto y de alto volumen para abrumar a los sistemas objetivo.
El ataque fue presentado en el 45º Simposio sobre Seguridad y Privacidad de IEEE y en el evento GEEKCON 2023. La Internet Systems Consortium (ISC) declaró que no es vulnerable a DNSBomb y que las mitigaciones existentes son suficientes para protegerse contra los riesgos planteados por este ataque.
Vía The Hacker News
