Hackers por trás da Botnet CatDDoS exploraram mais de 80 falhas de segurança conhecidas em vários softwares nos últimos três meses para se infiltrar em dispositivos vulneráveis e cooptá-los em uma Botnet para realizar ataques distribuídos de negação de serviço (DDoS).
"As amostras relacionadas ao CatDDoS usaram um grande número de vulnerabilidades conhecidas para entregar amostras", disse a equipe do QiAnXin XLab. "Além disso, o número máximo alvos observados excederam +300 por dia."
As falhas afetam roteadores, equipamentos de rede e outros dispositivos de fornecedores como Apache (ActiveMQ, Hadoop, Log4j e RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE e Zyxel, entre outros.
CatDDoS foi documentado por QiAnXin no final de 2023, descrevendo-o como uma variante de Botnet Mirai capaz de executar ataques DDoS usando UDP, TCP, entre outros métodos.
Em uma reviravolta interessante, CatDDoS compartilha o mesmo par chave/nonce para o algoritmo ChaCha20 que é usado para outros três Botnets: hailBot, VapeBot e Woodman.
A XLab disse que os ataques se concentram principalmente em países como EUA, França, Alemanha, Brasil e China, abrangendo provedores de serviços em nuvem, educação, pesquisa científica, transmissão de informações, administração pública, construção e outros setores.
Suspeita-se que os agressores por trás do malware encerraram suas operações em dezembro de 2023, mas antes o código-fonte esteve à venda em grupo do Telegram.
"Devido à venda ou vazamento do código-fonte, novas variantes surgiram, como RebirthLTD, Komaru, Cecilio Network, etc. após o desligamento", disseram os pesquisadores. "Embora as diferentes variantes possam ser gerenciadas por grupos diferentes, há pouca variação no código, design de comunicação, cadeias de caracteres, métodos de descriptografia, etc."
Pesquisadores demonstram DNSBom
A divulgação ocorre quando surgiram detalhes sobre uma prática e potente técnica de ataque de negação de serviço (PDoS) "pulsing" e DNSBomb (CVE-2024-33655) que, como o nome indica, explora i (DNS) para alcançar um fator de amplificação de 20.000x.
O ataque, em sua essência, capitaliza recursos DNS legítimos, como “query rate limits”, “query-response timeouts”, “query agregation”, e maximum response size configurações para criar consultas cronometradas usando uma autoridade projetada maliciosamente e um DNS vulnerável.
"O DNSBomb explora vários mecanismos DNS amplamente implementados para acumular consultas DNS que são enviadas baixa frequência, amplificam as consultas e concentraram as respostas DNS pulsante periódica e de alto volume para sobrecarregar os sistemas alvo", disse Xiang Li, da Universidade de Tsinghua.
O DNSBomb visa sobrecarregar as vítimas com rajadas periódicas de tráfego amplificado que são difíceis de detectar." Os resultados foram apresentados no 45º Simpósio IEEE sobre Segurança e Privacidade realizado em São Francisco na semana passada e anteriormente no evento GEEKCON 2023 que ocorreu em Xangai em outubro de 2023.
Entre em contato conosco e saiba como proteger seu negócio de ameaças avançadas.
Comments