Malware mira em ataques DDoS
28 de Maio de 2024

Os atores de ameaças por trás do botnet CatDDoS malware exploraram mais de 80 falhas de segurança conhecidas em diversos softwares nos últimos três meses para invadir dispositivos vulneráveis e cooptá-los em um botnet para conduzir ataques de negação de serviço distribuído (DDoS).

"Amostras relacionadas aos gangs do CatDDoS utilizaram um grande número de vulnerabilidades conhecidas para entregar amostras", disse a equipe QiAnXin XLab.

"Adicionalmente, o número máximo de alvos observados ultrapassou 300+ por dia." As falhas impactam roteadores, equipamentos de rede e outros dispositivos de fornecedores como Apache (ActiveMQ, Hadoop, Log4j e RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE e Zyxel, entre outros.

O CatDDoS foi anteriormente documentado pela QiAnXin e NSFOCUS no final de 2023, descrevendo-o como uma variante do Mirai botnet capaz de realizar ataques DDoS usando UDP, TCP e outros métodos.

Surgido pela primeira vez em agosto de 2023, o malware recebeu seu nome devido a referências relacionadas a gatos em strings como "catddos.pirate" e "password_meow" para domínios de comando e controle (C2).

A maioria dos alvos dos ataques do malware estão localizados na China, seguidos pelos EUA, Japão, Singapura, França, Canadá, Reino Unido, Bulgária, Alemanha, Holanda e Índia, conforme informações compartilhadas pela NSFOCUS até outubro de 2023.

Além de usar o algoritmo ChaCha20 para criptografar comunicações com o servidor C2, ele faz uso de um domínio OpenNIC para C2 na tentativa de evadir detecção, uma técnica anteriormente adotada por outro Mirai-based DDoS botnet chamado Fodcha.

Em uma reviravolta interessante, o CatDDoS compartilha também o mesmo par de chave/nonce para o algoritmo ChaCha20 como três outros DDoS botnets chamados hailBot, VapeBot e Woodman.

O XLab disse que os ataques estão focados principalmente em países como os EUA, França, Alemanha, Brasil e China, abrangendo provedores de serviços em nuvem, educação, pesquisa científica, transmissão de informações, administração pública, construção e outras indústrias.

Suspeita-se que os autores originais por trás do malware encerraram suas operações em dezembro de 2023, mas não antes de colocar o código fonte à venda em um grupo dedicado no Telegram.

"Devido à venda ou vazamento do código fonte, novas variantes surgiram, tais como RebirthLTD, Komaru, Cecilio Network, após o encerramento", disseram os pesquisadores.

Embora as diferentes variantes possam ser gerenciadas por diferentes grupos, há pouca variação no código, design de comunicação, strings, métodos de descriptografia, etc.

Pesquisadores Demonstram DNSBomb

A divulgação ocorre enquanto detalhes emergiram sobre uma técnica de ataque de denial-of-service (PDoS) “pulsante” prática e potente apelidada de DNSBomb ( CVE-2024-33655 ) que, como o nome indica, explora as consultas e respostas do Sistema de Nomes de Domínio (DNS) para alcançar um fator de amplificação de 20,000x.

O ataque, em sua essência, capitaliza em características legítimas do DNS como limites de taxa de consulta, timeouts de resposta de consulta, agregação de consulta e configurações de tamanho máximo de resposta para criar enchentes temporizadas de respostas usando uma autoridade maliciosamente projetada e um resolvedor recursivo vulnerável.

"DNSBomb explora múltiplos mecanismos DNS amplamente implementados para acumular consultas DNS que são enviadas a uma taxa baixa, amplificar consultas em respostas de grande tamanho e concentrar todas as respostas DNS em uma explosão periódica pulsante de alto volume para sobrecarregar sistemas-alvo simultaneamente", disse Xiang Li, candidato a Ph.D. no Tsinghua University NISL Lab.

A estratégia de ataque envolve o IP-spoofing de múltiplas consultas DNS para um domínio controlado pelo atacante, seguido da retenção de respostas para agregar múltiplas réplicas.

DNSBomb visa sobrecarregar as vítimas com explosões periódicas de tráfego amplificado que são desafiadoras de detectar.

As descobertas foram apresentadas no 45º Simpósio IEEE sobre Segurança e Privacidade realizado em São Francisco na semana passada e anteriormente no evento GEEKCON 2023 que ocorreu em Xangai em outubro de 2023.

O Internet Systems Consortium (ISC), que desenvolve e mantém o conjunto de softwares BIND, disse não ser vulnerável ao DNSBomb, adicionando que as mitigações existentes são suficientes para mitigar os riscos impostos pelo ataque.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...