Gorilla Botnet

Els investigadors de ciberseguretat han identificat una nova família de programari maliciós de botnets coneguda com Gorilla (o GorillaBot), que es basa en el codi font divulgat de Mirai Botnet .

Segons els experts que controlen aquesta activitat, la botnet Gorilla va executar més de 300.000 ordres d'atac en un període notablement curt, amb una taxa d'atac sorprenent el setembre de 2024. De mitjana, la botnet va llançar al voltant de 20.000 ordres diàries, específicament destinades a facilitar la denegació distribuïda. atacs de servei (DDoS).

Més de 100 països apuntats per intents de DDoS

S'ha informat que la botnet s'ha dirigit a més de 100 països, llançant atacs contra universitats, llocs web governamentals, telecomunicacions, bancs, així com les indústries dels jocs i apostes. Els països més afectats són la Xina, els Estats Units, el Canadà i Alemanya.

Els experts indiquen que Gorilla utilitza principalment mètodes com ara UDP flood, ACK BYPASS flood, Valve Source Engine (VSE), flood SYN i ACK flood per dur a terme els seus atacs DDoS. La naturalesa sense connexió del protocol UDP permet la falsificació d'IP d'origen arbitrària, donant lloc a un volum important de trànsit.

A més del seu suport per a múltiples arquitectures de CPU, incloses ARM, MIPS, x86_64 i x86, la botnet està equipada amb la capacitat de connectar-se a un dels cinc servidors de comandament i control (C2) predefinits per rebre ordres DDoS.

Explotació de vulnerabilitats i mecanisme de persistència

En un desenvolupament notable, el programari maliciós incorpora funcions per explotar una vulnerabilitat de seguretat en Apache Hadoop YARN RPC, que li permeten aconseguir l'execució de codi remota. Aquest defecte particular s'ha explotat en estat salvatge almenys des del 2021.

Per garantir la persistència a l'amfitrió, el programari maliciós crea un fitxer de servei anomenat custom.service al directori /etc/systemd/system/, que està configurat per executar-se automàticament a l'inici del sistema. Aquest servei s'encarrega de descarregar i executar un script d'intèrpret d'ordres anomenat lol.sh des d'un servidor remot (pen.gorillafirewall.su). A més, s'insereixen ordres similars als fitxers /etc/inittab, /etc/profile i /boot/bootcmd per facilitar la descàrrega i l'execució de l'script de l'intèrpret d'ordres a l'inici del sistema o a l'inici de sessió de l'usuari.

El programari maliciós introdueix una varietat de mètodes d'atac DDoS i empra algorismes de xifratge utilitzats habitualment pel grup Keksec per ocultar la informació crítica. També utilitza diverses tècniques per mantenir un control a llarg termini sobre els dispositius IoT i els amfitrions del núvol, cosa que reflecteix una consciència sofisticada de les mesures de contradetecció típiques de les famílies de botnets emergents.

Alguns investigadors de seguretat suggereixen que el programari maliciós Gorilla Botnet no és del tot nou, ja que ha estat actiu durant més d'un any.