הצעת הנחה מרובה רישיונות
מסד נתונים של איומים Botnets גורילה בוטנט

גורילה בוטנט

עד Mezo ב-Botnets
לתרגם ל:
עברית

חוקרי אבטחת סייבר זיהו משפחה חדשה של תוכנות זדוניות בוטנט המכונה Gorilla (או GorillaBot), המבוססת על קוד המקור שנחשף של Mirai Botnet .

על פי המומחים שעוקבים אחר פעילות זו, הבוטנט Gorilla ביצע יותר מ-300,000 פקודות תקיפה בתוך תקופה קצרה להפליא, עם שיעור תקיפה מדהים בספטמבר 2024. בממוצע, הבוטנט השיק כ-20,000 פקודות מדי יום, שמטרתן במיוחד להקל על הכחשה מבוזרת- התקפות של שירות (DDoS).

מעל 100 מדינות ממוקדות על ידי ניסיונות DDoS

על פי הדיווחים, הבוטנט מכוון ליותר מ-100 מדינות, והשיק התקפות נגד אוניברסיטאות, אתרי אינטרנט ממשלתיים, טלקומוניקציה, בנקים, כמו גם תעשיות המשחקים וההימורים. המדינות המושפעות ביותר כוללות את סין, ארצות הברית, קנדה וגרמניה.

מומחים מצביעים על כך שגורילה משתמשת בעיקר בשיטות כגון הצפה UDP, ACK BYPASS flood, Valve Source Engine (VSE) הצפה, SYN flood והצפה ACK כדי לבצע את התקפות ה-DDoS שלה. האופי חסר החיבור של פרוטוקול UDP מאפשר זיוף מקור שרירותי של IP, וכתוצאה מכך נפח משמעותי של תעבורה.

בנוסף לתמיכה בארכיטקטורות CPU מרובות, כולל ARM, MIPS, x86_64 ו-x86, הבוטנט מצויד ביכולת להתחבר לאחד מחמישה שרתי Command-and-Control (C2) מוגדרים מראש כדי לקבל פקודות DDoS.

ניצול פגיעויות ומנגנון התמדה

בפיתוח בולט, התוכנה הזדונית משלבת פונקציות לניצול פגיעות אבטחה ב- Apache Hadoop YARN RPC, מה שמאפשר לה להשיג ביצוע קוד מרחוק. הפגם המסוים הזה נוצל בטבע מאז 2021 לפחות.

כדי להבטיח התמדה על המארח, התוכנה הזדונית יוצרת קובץ שירות בשם custom.service בספריית /etc/systemd/system/, המוגדרת לפעול באופן אוטומטי בעת הפעלת המערכת. על שירות זה מוטל הורדה וביצוע של סקריפט מעטפת בשם lol.sh משרת מרוחק (pen.gorillafirewall.su). בנוסף, פקודות דומות מוכנסות לקבצי /etc/inittab, /etc/profile ו-/boot/bootcmd כדי להקל על ההורדה והביצוע של סקריפט המעטפת בעת הפעלת המערכת או כניסת משתמש.

התוכנה הזדונית מציגה מגוון שיטות התקפת DDoS ומשתמשת באלגוריתמי הצפנה הנפוצים על ידי קבוצת Keksec כדי לטשטש מידע קריטי. הוא גם משתמש במספר טכניקות כדי לשמור על שליטה ארוכת טווח על מכשירי IoT ומארחי ענן, המשקף מודעות מתוחכמת לאמצעי זיהוי נגד האופייניים למשפחות בוטנט מתפתחות.

כמה חוקרי אבטחה מציעים שהתוכנה הזדונית Gorilla Botnet אינה חדשה לגמרי, לאחר שהייתה פעילה יותר משנה.

מגמות

הכי נצפה

טוען...