Botnet di Gorilla

I ricercatori di sicurezza informatica hanno identificato una nuova famiglia di malware botnet nota come Gorilla (o GorillaBot), basata sul codice sorgente divulgato della botnet Mirai .

Secondo gli esperti che monitorano questa attività, la botnet Gorilla ha eseguito più di 300.000 comandi di attacco in un periodo di tempo notevolmente breve, con un tasso di attacco sorprendente a settembre 2024. In media, la botnet ha lanciato circa 20.000 comandi al giorno, specificamente mirati a facilitare gli attacchi di negazione del servizio distribuiti (DDoS).

Oltre 100 Paesi presi di mira da tentativi DDoS

Si dice che la botnet abbia preso di mira oltre 100 paesi, lanciando attacchi contro università, siti web governativi, telecomunicazioni, banche, nonché le industrie del gioco d'azzardo e del gioco d'azzardo. Le nazioni più colpite includono Cina, Stati Uniti, Canada e Germania.

Gli esperti indicano che Gorilla impiega principalmente metodi quali UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood e ACK flood per eseguire i suoi attacchi DDoS. La natura senza connessione del protocollo UDP consente lo spoofing arbitrario dell'IP sorgente, con conseguente volume significativo di traffico.

Oltre al supporto per più architetture CPU, tra cui ARM, MIPS, x86_64 e x86, la botnet è dotata della capacità di connettersi a uno dei cinque server Command-and-Control (C2) predefiniti per ricevere comandi DDoS.

Sfruttamento delle vulnerabilità e meccanismo di persistenza

In uno sviluppo degno di nota, il malware incorpora funzioni per sfruttare una vulnerabilità di sicurezza in Apache Hadoop YARN RPC, consentendogli di ottenere l'esecuzione di codice remoto. Questa particolare falla è stata sfruttata in natura almeno dal 2021.

Per garantire la persistenza sull'host, il malware crea un file di servizio denominato custom.service nella directory /etc/systemd/system/, che è configurato per essere eseguito automaticamente all'avvio del sistema. Questo servizio è incaricato di scaricare ed eseguire uno script shell denominato lol.sh da un server remoto (pen.gorillafirewall.su). Inoltre, comandi simili vengono inseriti nei file /etc/inittab, /etc/profile e /boot/bootcmd per facilitare il download e l'esecuzione dello script shell all'avvio del sistema o all'accesso dell'utente.

Il malware introduce una varietà di metodi di attacco DDoS e impiega algoritmi di crittografia comunemente usati dal gruppo Keksec per oscurare informazioni critiche. Utilizza inoltre tecniche multiple per mantenere il controllo a lungo termine sui dispositivi IoT e sugli host cloud, riflettendo una sofisticata consapevolezza delle misure di contro-rilevamento tipiche delle famiglie di botnet emergenti.

Alcuni ricercatori sulla sicurezza ritengono che il malware Gorilla Botnet non sia del tutto nuovo, essendo attivo da oltre un anno.