Botnet CatDDoS
Les chercheurs analysant les botnets DDoS traditionnels les plus actifs ont signalé une augmentation des attaques des cybergangs liés à CatDDoS. Au cours de leur enquête, les experts ont réussi à confirmer que les cybercriminels ont exploité plus de 80 vulnérabilités pour compromettre les appareils ciblés en seulement trois mois. De plus, le nombre maximum de cibles a été observé comme dépassant plus de 300 par jour. L'objectif des attaquants est d'infiltrer les appareils vulnérables et de les détourner pour les intégrer à un botnet afin de mener des attaques par déni de service distribué (DDoS).
Table des matières
Les cybercriminels exploitent de nombreuses vulnérabilités pour créer le botnet CatDDoS
Ces vulnérabilités affectent un large éventail d'appareils, notamment les routeurs, les équipements réseau et autres matériels fournis par divers fournisseurs comme Apache (ActiveMQ, Hadoop, Log4j et RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel et autres. Les chercheurs ont souligné que certaines vulnérabilités restent non identifiées, pouvant être des vulnérabilités de type 0-day dans des conditions spécifiques.
CatDDoS est basé sur le tristement célèbre botnet Mirai
CatDDoS est lui-même une variante de Mirai depuis sa création. Il tire son nom de l'inclusion de « chat » et « miaou » dans les premiers noms de domaine et échantillons, indiquant une affinité pour les thèmes félins de son créateur. Apparues initialement en août 2023, les itérations récentes de CatDDoS présentent des modifications minimes dans les méthodes de communication par rapport à ses versions précédentes.
Certains chercheurs pensent que CatDDoS aurait pu être fermé à la fin de l'année dernière. Néanmoins, le code source de la menace a été soit vendu par ses créateurs, soit divulgué de manière indépendante. Par conséquent, de nouvelles itérations comme RebirthLTD, Komaru, Cecilio Network, entre autres, ont vu le jour.
Plusieurs groupes de cybercriminels ont créé leurs propres variantes de botnet CatDDoS
Bien que différents groupes puissent superviser différentes itérations du botnet CatDDoS, il existe des divergences minimes dans la structure du code, les protocoles de communication, les modèles de chaînes, les méthodologies de décryptage et d'autres aspects. Par conséquent, les chercheurs ont consolidé ces variantes dans un cluster unifié connu sous le nom de gangs liés à CatDDoS.
Parmi les variantes actives les plus récentes figurent la v-2.0.4 (CatDDoS) et la v-Rebirth (RebirthLTD), toutes deux utilisant le cryptage chacha20 pour la transmission de données, avec des clés et des noms occasionnels identiques. La différence réside dans l'utilisation par la version 2.0.4 du domaine OpenNIC comme nom de domaine de commande et de contrôle (C2). Bien que RebirthLTD ait initialement utilisé le code original de Mirai, il est ensuite passé à la base de code de CatDDoS et fait l'objet de mises à jour fréquentes.
Essentiellement, les échantillons liés à CatDDoS ont subi des modifications minimes par rapport aux versions précédentes. Quelques ajustements mineurs ont été mis en œuvre pour accroître la complexité de l'ingénierie inverse. Ainsi, le consensus est que même si des changements existent, ils sont relativement limités.
Un ensemble diversifié de cibles observées dans les opérations d’attaque du botnet CatDDoS
En octobre 2023, la majorité des cibles touchées par le malware étaient situées en Chine, suivie par les États-Unis, le Japon, Singapour, la France, le Canada, le Royaume-Uni, la Bulgarie, l'Allemagne, les Pays-Bas et l'Inde.
Depuis lors, les chercheurs ont observé un changement d’orientation vers des pays comme les États-Unis, la France, l’Allemagne, le Brésil et la Chine. Les cibles couvrent divers secteurs, notamment les fournisseurs de services cloud, l'éducation, la recherche scientifique, la transmission d'informations, l'administration publique et la construction.
Notamment, en plus d'utiliser l'algorithme ChaCha20 pour chiffrer les communications avec le serveur C2, le malware utilise un domaine OpenNIC pour C2, une tactique précédemment utilisée par un autre botnet DDoS basé sur Mirai connu sous le nom de Fodcha. Curieusement, CatDDoS partage la même paire clé/nom occasionnel pour l'algorithme ChaCha20 avec trois autres botnets DDoS nommés hailBot, VapeBot et Woodman.
