Gorilla Botnet

Istraživači kibernetičke sigurnosti identificirali su novu obitelj botnet malwarea poznatu kao Gorilla (ili GorillaBot), koja se temelji na otkrivenom izvornom kodu Mirai Botneta .

Prema stručnjacima koji prate ovu aktivnost, botnet Gorilla izvršio je više od 300.000 naredbi za napad u izuzetno kratkom razdoblju, sa zapanjujućom stopom napada u rujnu 2024. U prosjeku, botnet je lansirao oko 20.000 naredbi dnevno, posebno usmjerenih na olakšavanje distribuiranog odbijanja- napadi izvan usluge (DDoS).

Više od 100 zemalja na meti DDoS pokušaja

Prijavljeno je da je botnet ciljao više od 100 zemalja, lansirajući napade na sveučilišta, vladine web stranice, telekomunikacije, banke, kao i industriju igara na sreću i kockanje. Najviše pogođene zemlje su Kina, Sjedinjene Države, Kanada i Njemačka.

Stručnjaci navode da Gorilla prvenstveno koristi metode kao što su UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood i ACK flood za izvođenje svojih DDoS napada. Priroda UDP protokola bez povezivanja omogućuje krivotvorenje IP adrese proizvoljnog izvora, što rezultira značajnom količinom prometa.

Uz podršku za višestruke CPU arhitekture, uključujući ARM, MIPS, x86_64 i x86, botnet je opremljen sposobnošću povezivanja na jedan od pet unaprijed definiranih Command-and-Control (C2) poslužitelja za primanje DDoS naredbi.

Iskorištavanje ranjivosti i mehanizam postojanosti

U značajnom razvoju, zlonamjerni softver uključuje funkcije za iskorištavanje sigurnosne ranjivosti u Apache Hadoop YARN RPC, omogućujući mu postizanje daljinskog izvršavanja koda. Ovaj se nedostatak iskorištava u divljini najmanje od 2021.

Kako bi osigurao postojanost na hostu, zlonamjerni softver stvara servisnu datoteku pod nazivom custom.service u direktoriju /etc/systemd/system/, koja je konfigurirana za automatsko pokretanje pri pokretanju sustava. Ovaj servis ima zadatak preuzeti i izvršiti shell skriptu pod nazivom lol.sh s udaljenog poslužitelja (pen.gorillafirewall.su). Dodatno, slične naredbe umetnute su u datoteke /etc/inittab, /etc/profile i /boot/bootcmd kako bi se olakšalo preuzimanje i izvođenje skripte ljuske nakon pokretanja sustava ili prijave korisnika.

Zlonamjerni softver uvodi različite metode DDoS napada i koristi algoritme šifriranja koje obično koristi grupa Keksec za prikrivanje kritičnih informacija. Također koristi višestruke tehnike za održavanje dugoročne kontrole nad IoT uređajima i hostovima u oblaku, odražavajući sofisticiranu svijest o mjerama protudetekcije tipičnim za obitelji botneta u nastajanju.

Neki istraživači sigurnosti sugeriraju da zlonamjerni softver Gorilla Botnet nije posve nov, jer je aktivan više od godinu dana.