Gorilla Botnet

Pesquisadores de segurança cibernética identificaram uma nova família de malware botnet conhecida como Gorilla (ou GorillaBot), que é baseada no código-fonte divulgado do Mirai Botnet.

De acordo com os especialistas que monitoram essa atividade, o Gorilla botnet executou mais de 300.000 comandos de ataque em um período notavelmente curto, com uma taxa de ataque surpreendente em setembro de 2024. Em média, a botnet lançou cerca de 20.000 comandos diariamente, especificamente voltados para facilitar ataques distribuídos de negação de serviço (DDoS).

Mais de 100 Países foram Alvo de Tentativas de DDoS

O botnet teria como alvo mais de 100 países, lançando ataques contra universidades, sites governamentais, telecomunicações, bancos, bem como as indústrias de jogos e apostas. As nações mais afetadas incluem China, Estados Unidos, Canadá e Alemanha.

Especialistas indicam que o Gorilla emprega principalmente métodos como UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood e ACK flood para executar seus ataques DDoS. A natureza sem conexão do protocolo UDP permite spoofing de IP de origem arbitrária, resultando em um volume significativo de tráfego.

Além do suporte para diversas arquiteturas de CPU, incluindo ARM, MIPS, x86_64 e x86, a botnet é equipada com a capacidade de se conectar a um dos cinco servidores de Comando e Controle (C2) predefinidos para receber comandos DDoS.

Explorando Vulnerabilidades e Mecanismo de Persistência

Em um desenvolvimento notável, o malware incorpora funções para explorar uma vulnerabilidade de segurança no Apache Hadoop YARN RPC, permitindo que ele alcance a execução remota de código. Essa falha em particular tem sido explorada na natureza desde pelo menos 2021.

Para garantir a persistência no host, o malware cria um arquivo de serviço chamado custom.service no diretório /etc/systemd/system/, que é configurado para ser executado automaticamente na inicialização do sistema. Este serviço é encarregado de baixar e executar um script de shell chamado lol.sh de um servidor remoto (pen.gorillafirewall.su). Além disso, comandos semelhantes são inseridos nos arquivos /etc/inittab, /etc/profile e /boot/bootcmd para facilitar o download e a execução do script de shell na inicialização do sistema ou no login do usuário.

O malware introduz uma variedade de métodos de ataque DDoS e emprega algoritmos de criptografia comumente usados pelo grupo Keksec para ocultar informações críticas. Ele também utiliza múltiplas técnicas para manter controle de longo prazo sobre dispositivos IoT e hosts de nuvem, refletindo uma consciência sofisticada de medidas de contradetecção típicas de famílias de botnet emergentes.

Alguns pesquisadores de segurança sugerem que o malware Gorilla Botnet não é totalmente novo, estando ativo há mais de um ano.