Gorilla Botnet

Изследователите на киберсигурността са идентифицирали ново семейство зловреден софтуер за ботнет, известен като Gorilla (или GorillaBot), който се основава на разкрития изходен код на Mirai Botnet .

Според експертите, наблюдаващи тази дейност, ботнетът Gorilla е изпълнил повече от 300 000 команди за атака в рамките на забележително кратък период от време, с удивителен процент на атаки през септември 2024 г. Средно ботнетът е стартирал около 20 000 команди дневно, специално насочени към улесняване на разпределения отказ- атаки извън услугата (DDoS).

Над 100 държави, насочени към DDoS опити

Съобщава се, че ботнетът е насочен към над 100 държави, стартирайки атаки срещу университети, правителствени уебсайтове, телекомуникации, банки, както и игралната и хазартната индустрия. Най-засегнатите страни включват Китай, САЩ, Канада и Германия.

Експертите посочват, че Gorilla използва предимно методи като UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood и ACK flood, за да извърши своите DDoS атаки. Естеството на UDP протокола без връзка позволява произволно IP подправяне на източника, което води до значителен обем трафик.

В допълнение към поддръжката си за множество процесорни архитектури, включително ARM, MIPS, x86_64 и x86, ботнетът е оборудван с възможност за свързване към един от петте предварително дефинирани командни и контролни (C2) сървъра за получаване на DDoS команди.

Експлоатиране на уязвимости и механизъм за устойчивост

В забележително развитие злонамереният софтуер включва функции за използване на уязвимост в сигурността в Apache Hadoop YARN RPC, което му позволява да постигне дистанционно изпълнение на код. Този конкретен недостатък се използва в природата поне от 2021 г.

За да осигури устойчивост на хоста, зловредният софтуер създава сервизен файл с име custom.service в директорията /etc/systemd/system/, който е конфигуриран да се изпълнява автоматично при стартиране на системата. Тази услуга има за задача да изтегли и изпълни шел скрипт, наречен lol.sh от отдалечен сървър (pen.gorillafirewall.su). Освен това подобни команди се вмъкват във файловете /etc/inittab, /etc/profile и /boot/bootcmd, за да се улесни изтеглянето и изпълнението на скрипта на обвивката при стартиране на системата или влизане на потребителя.

Зловреден софтуер въвежда различни методи за DDoS атака и използва алгоритми за криптиране, често използвани от групата Keksec, за да скрие критична информация. Той също така използва множество техники за поддържане на дългосрочен контрол върху IoT устройства и облачни хостове, отразявайки усъвършенствана информираност за мерките за контраоткриване, типични за нововъзникващите ботнет семейства.

Някои изследователи по сигурността предполагат, че зловредният софтуер Gorilla Botnet не е съвсем нов, тъй като е бил активен повече от година.