Gorilla-botnet

Cybersecurityonderzoekers hebben een nieuwe familie botnetmalware geïdentificeerd die bekendstaat als Gorilla (of GorillaBot). Deze malware is gebaseerd op de openbaar gemaakte broncode van het Mirai-botnet .

Volgens de experts die deze activiteit in de gaten houden, voerde het Gorilla-botnet in een opmerkelijk korte periode meer dan 300.000 aanvalsopdrachten uit, met een verbluffende aanvalsratio in september 2024. Gemiddeld voerde het botnet dagelijks ongeveer 20.000 opdrachten uit, die specifiek gericht waren op het faciliteren van distributed denial-of-service (DDoS)-aanvallen.

Meer dan 100 landen doelwit van DDoS-pogingen

Het botnet zou meer dan 100 landen hebben aangevallen, met aanvallen op universiteiten, overheidswebsites, telecommunicatie, banken en de gaming- en gokindustrie. De landen die het zwaarst getroffen zijn, zijn China, de Verenigde Staten, Canada en Duitsland.

Deskundigen geven aan dat Gorilla voornamelijk methoden zoals UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood en ACK flood gebruikt om zijn DDoS-aanvallen uit te voeren. De verbindingsloze aard van het UDP-protocol maakt willekeurige bron-IP-spoofing mogelijk, wat resulteert in een aanzienlijk volume aan verkeer.

Naast de ondersteuning voor meerdere CPU-architecturen, waaronder ARM, MIPS, x86_64 en x86, kan het botnet verbinding maken met een van de vijf vooraf gedefinieerde Command-and-Control (C2)-servers om DDoS-opdrachten te ontvangen.

Exploiteren van kwetsbaarheden en persistentiemechanismen

In een opmerkelijke ontwikkeling integreert de malware functies om een beveiligingslek in Apache Hadoop YARN RPC te exploiteren, waardoor het remote code execution kan bereiken. Deze specifieke fout wordt al sinds ten minste 2021 in het wild geëxploiteerd.

Om persistentie op de host te garanderen, maakt de malware een servicebestand met de naam custom.service in de map /etc/systemd/system/, dat is geconfigureerd om automatisch te worden uitgevoerd bij het opstarten van het systeem. Deze service is belast met het downloaden en uitvoeren van een shellscript genaamd lol.sh van een externe server (pen.gorillafirewall.su). Daarnaast worden vergelijkbare opdrachten ingevoegd in de bestanden /etc/inittab, /etc/profile en /boot/bootcmd om het downloaden en uitvoeren van het shellscript bij het opstarten van het systeem of bij het inloggen van de gebruiker te vergemakkelijken.

De malware introduceert een verscheidenheid aan DDoS-aanvalsmethoden en gebruikt encryptiealgoritmen die veel worden gebruikt door de Keksec-groep om kritieke informatie te verbergen. Het gebruikt ook meerdere technieken om op lange termijn controle te houden over IoT-apparaten en cloudhosts, wat een geavanceerd bewustzijn van tegendetectiemaatregelen weerspiegelt die kenmerkend zijn voor opkomende botnetfamilies.

Sommige beveiligingsonderzoekers beweren dat de Gorilla Botnet-malware niet geheel nieuw is, aangezien deze al meer dan een jaar actief is.