Gorilla Botnet

Cybersikkerhetsforskere har identifisert en ny familie av botnet-skadevare kjent som Gorilla (eller GorillaBot), som er basert på den avslørte kildekoden til Mirai Botnet .

I følge ekspertene som overvåker denne aktiviteten, utførte Gorilla-botnettet mer enn 300 000 angrepskommandoer i løpet av en bemerkelsesverdig kort periode, med en forbløffende angrepsrate i september 2024. I gjennomsnitt lanserte botnettet rundt 20 000 kommandoer daglig, spesielt rettet mot å lette distribuert fornektelse- of-service (DDoS) angrep.

Over 100 land målrettet av DDoS-forsøk

Botnettet er rapportert å ha rettet mot over 100 land, og startet angrep mot universiteter, offentlige nettsteder, telekommunikasjon, banker, samt spill- og gamblingindustrien. De mest berørte nasjonene inkluderer Kina, USA, Canada og Tyskland.

Eksperter indikerer at Gorilla først og fremst bruker metoder som UDP-flom, ACK BYPASS-flom, Valve Source Engine (VSE)-flom, SYN-flom og ACK-flom for å utføre sine DDoS-angrep. UDP-protokollens tilkoblingsløse natur muliggjør vilkårlig IP-forfalskning, noe som resulterer i et betydelig trafikkvolum.

I tillegg til støtte for flere CPU-arkitekturer, inkludert ARM, MIPS, x86_64 og x86, er botnettet utstyrt med muligheten til å koble til en av fem forhåndsdefinerte Command-and-Control (C2)-servere for å motta DDoS-kommandoer.

Utnyttelse av sårbarheter og persistensmekanisme

I en bemerkelsesverdig utvikling inneholder skadevaren funksjoner for å utnytte en sikkerhetssårbarhet i Apache Hadoop YARN RPC, slik at den kan oppnå ekstern kjøring av kode. Denne spesielle feilen har blitt utnyttet i naturen siden minst 2021.

For å sikre utholdenhet på verten, oppretter skadevaren en tjenestefil kalt custom.service i katalogen /etc/systemd/system/, som er konfigurert til å kjøre automatisk ved systemstart. Denne tjenesten har i oppgave å laste ned og kjøre et skallskript kalt lol.sh fra en ekstern server (pen.gorillafirewall.su). I tillegg settes lignende kommandoer inn i filene /etc/inittab, /etc/profile og /boot/bootcmd for å lette nedlasting og kjøring av skallskriptet ved systemoppstart eller brukerpålogging.

Skadevaren introduserer en rekke DDoS-angrepsmetoder og bruker krypteringsalgoritmer som vanligvis brukes av Keksec-gruppen for å skjule kritisk informasjon. Den bruker også flere teknikker for å opprettholde langsiktig kontroll over IoT-enheter og skyverter, noe som gjenspeiler en sofistikert bevissthet om motdeteksjonstiltak som er typiske for nye botnett-familier.

Noen sikkerhetsforskere antyder at Gorilla Botnet malware ikke er helt ny, etter å ha vært aktiv i over et år.