Los actores de amenazas detrás de la botnet de malware CatDDoS han explotado más de 80 fallas de seguridad conocidas en varios programas durante los últimos tres meses para infiltrarse en dispositivos vulnerables y cooptarlos en una botnet para realizar ataques distribuidos de denegación de servicio (DDoS).
«Las muestras de pandillas relacionadas con CatDDoS han utilizado una gran cantidad de vulnerabilidades conocidas para entregar muestras», dijo el equipo de QiAnXin XLab . «Además, se ha observado que el número máximo de objetivos supera los 300+ por día».
Las fallas afectan a enrutadores, equipos de red y otros dispositivos de proveedores como Apache (ActiveMQ, Hadoop, Log4j y RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase. , NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE y Zyxel, entre otros.
CatDDoS fue documentado previamente por QiAnXin y NSFOCUS a finales de 2023, describiéndolo como una variante de la botnet Mirai capaz de realizar ataques DDoS utilizando UDP, TCP y otros métodos.
El malware, que surgió por primera vez en agosto de 2023, recibe su nombre debido a referencias relacionadas con gatos en cadenas como «catddos.pirate» y «password_meow» para dominios de comando y control (C2).
La mayoría de los objetivos de ataque del malware se encuentran en China, seguida de EE. UU., Japón, Singapur, Francia, Canadá, Reino Unido, Bulgaria, Alemania, Países Bajos e India, según información compartida por NSFOCUS a octubre de 2023. .
Además de utilizar el algoritmo ChaCha20 para cifrar las comunicaciones con el servidor C2, utiliza un dominio OpenNIC para C2 en un intento de evadir la detección, una técnica adoptada previamente por otra botnet DDoS basada en Mirai llamada Fodcha.
En un giro interesante, CatDDoS también comparte el mismo par clave/nonce para el algoritmo ChaCha20 que otras tres botnets DDoS llamadas hailBot, VapeBot y Woodman.
XLab dijo que los ataques se centran principalmente en países como Estados Unidos, Francia, Alemania, Brasil y China, y abarcan proveedores de servicios en la nube, educación, investigación científica, transmisión de información, administración pública, construcción y otras industrias.
Se sospecha que los autores originales detrás del malware cerraron sus operaciones en diciembre de 2023, no sin antes poner a la venta el código fuente en un grupo dedicado de Telegram.
«Debido a la venta o filtración del código fuente, surgieron nuevas variantes, como RebirthLTD, Komaru, Cecilio Network, etc. después del cierre», dijeron los investigadores. «Aunque las diferentes variantes pueden ser administradas por diferentes grupos, hay poca variación en el código, diseño de comunicación, cadenas, métodos de descifrado, etc.»
Los investigadores demuestran DNSBomb
La divulgación se produce cuando han surgido detalles sobre una práctica y potente técnica de ataque de denegación de servicio (PDoS) «pulsante» denominada DNSBomb (CVE-2024-33655) que, como su nombre lo indica, explota las consultas del Sistema de nombres de dominio (DNS). y respuestas para lograr un factor de amplificación de 20.000x.
El ataque, en esencia, aprovecha características legítimas de DNS, como límites de tasa de consultas, tiempos de espera de respuesta a consultas, agregación de consultas y configuraciones de tamaño máximo de respuesta para crear inundaciones cronometradas de respuestas utilizando una autoridad diseñada maliciosamente y un solucionador recursivo vulnerable.
«DNSBomb explota múltiples mecanismos de DNS ampliamente implementados para acumular consultas de DNS que se envían a baja velocidad, amplificar las consultas en respuestas de gran tamaño y concentrar todas las respuestas de DNS en una ráfaga de pulsaciones periódicas cortas y de gran volumen para abrumar simultáneamente los sistemas de destino. «Xiang Li, Ph.D. candidato en el Laboratorio NISL de la Universidad de Tsinghua, dijo.
«La estrategia de ataque implica falsificar IP en múltiples consultas DNS a un dominio controlado por el atacante y luego retener respuestas para agregar múltiples respuestas. DNSBomb tiene como objetivo abrumar a las víctimas con ráfagas periódicas de tráfico amplificado que son difíciles de detectar».
Los hallazgos se presentaron en el 45º Simposio IEEE sobre Seguridad y Privacidad celebrado en San Francisco la semana pasada y anteriormente en el evento GEEKCON 2023 que tuvo lugar en Shanghai en octubre de 2023.
El Internet Systems Consortium (ISC), que desarrolla y mantiene el paquete de software BIND, dijo que no es vulnerable a DNSBomb y agregó que las mitigaciones existentes son suficientes para protegerse contra los riesgos planteados por el ataque.
Fuente y redacción: thehackernews.com