CatDDoS ボットネット
より活発な主流の DDoS ボットネットを分析している研究者は、CatDDoS 関連のサイバーギャングによる攻撃活動が急増していると報告しています。専門家は調査の過程で、サイバー犯罪者がわずか 3 か月の間に 80 を超える脆弱性を悪用して標的のデバイスを侵害したことを確認しました。さらに、ターゲットの最大数は 1 日あたり 300 を超えることが確認されています。攻撃者の目的は、脆弱なデバイスに侵入し、それらを乗っ取ってボットネットの一部にし、分散型サービス拒否 (DDoS) 攻撃を実行することです。
目次
サイバー犯罪者は多数の脆弱性を悪用してCatDDoSボットネットを展開
これらの脆弱性は、Apache (ActiveMQ、Hadoop、Log4j、RocketMQ)、Cacti、Cisco、D-Link、DrayTek、FreePBX、GitLab、Gocloud、Huawei、Jenkins、Linksys、Metabase、NETGEAR、Realtek、Seagate、SonicWall、Tenda、TOTOLINK、TP-Link、ZTE、Zyxel などのさまざまなベンダーが提供するルーター、ネットワーク機器、その他のハードウェアを含む幅広いデバイスに影響を及ぼします。研究者は、特定の脆弱性は未確認のままであり、特定の条件下ではゼロデイ脆弱性である可能性があると指摘しています。
CatDDoS は悪名高い Mirai ボットネットに基づいています
CatDDoS 自体は、その誕生以来Miraiの亜種です。初期のドメイン名とサンプルに「cat」と「meow」が含まれていたことからその名前が付けられ、作成者が猫をテーマに好んでいたことを示しています。2023 年 8 月に初めて出現した CatDDoS の最近のバージョンは、以前のバージョンと比較して通信方法にわずかな変更が見られます。
研究者の間では、CatDDoS は昨年末に停止したのではないかと推測されています。しかし、この脅威のソースコードは作成者によって販売されたか、独自に漏洩されました。その結果、RebirthLTD、Komaru、Cecilio Network などの新しい亜種が出現しました。
複数のサイバー犯罪グループが独自のCatDDoSボットネットの亜種を作成
CatDDoS ボットネットのさまざまなバージョンをさまざまなグループが監視している可能性がありますが、コード構造、通信プロトコル、文字列パターン、復号化方法、およびその他の側面における相違は最小限です。その結果、研究者はこれらの亜種を CatDDoS 関連グループと呼ばれる統一されたクラスターに統合しました。
最近アクティブな亜種には、v-2.0.4 (CatDDoS) と v-Rebirth (RebirthLTD) があり、どちらもデータ転送に chacha20 暗号化を採用しており、キーと nonce は同じです。相違点は、v-2.0.4 が OpenNIC ドメインをコマンド アンド コントロール (C2) ドメイン名として使用している点です。RebirthLTD は当初 Mirai のオリジナル コードを使用していましたが、その後 CatDDoS のコードベースに移行し、頻繁に更新されています。
本質的に、CatDDoS 関連のサンプルは、以前のバージョンと比較して最小限の変更しか施されていません。リバース エンジニアリングの複雑さを高めるために、いくつかの小さな調整が実装されています。したがって、変更はあるものの、その変更は比較的限定的であるという意見が一致しています。
CatDDoS ボットネット攻撃活動で観察された多様なターゲット
2023年10月現在、マルウェアの攻撃を受けた標的の大半は中国にあり、次いで米国、日本、シンガポール、フランス、カナダ、英国、ブルガリア、ドイツ、オランダ、インドとなっています。
それ以来、研究者たちは、標的が米国、フランス、ドイツ、ブラジル、中国などの国に移っているのを観察してきました。標的は、クラウド サービス プロバイダー、教育、科学研究、情報伝達、行政、建設など、さまざまな業界にわたります。
注目すべきは、C2 サーバーとの通信を暗号化するために ChaCha20 アルゴリズムを採用していることに加えて、マルウェアは C2 に OpenNIC ドメインを利用していることです。これは、Fodcha として知られる別の Mirai ベースの DDoS ボットネットが以前に使用した戦術です。興味深いことに、CatDDoS は、hailBot、VapeBot、Woodman という他の 3 つの DDoS ボットネットと、ChaCha20 アルゴリズムの同じキー/ノンス ペアを共有しています。
