Gorilla Botnet

Cercetătorii în domeniul securității cibernetice au identificat o nouă familie de malware botnet cunoscută sub numele de Gorilla (sau GorillaBot), care se bazează pe codul sursă dezvăluit al rețelei Mirai Botnet .

Potrivit experților care monitorizează această activitate, botnetul Gorilla a executat peste 300.000 de comenzi de atac într-o perioadă remarcabil de scurtă, cu o rată de atac uimitoare în septembrie 2024. În medie, botnet-ul a lansat în jur de 20.000 de comenzi zilnic, menite în mod special să faciliteze refuzul distribuit. atacuri of-service (DDoS).

Peste 100 de țări vizate de încercări DDoS

Se spune că botnetul a vizat peste 100 de țări, lansând atacuri împotriva universităților, site-urilor web guvernamentale, telecomunicațiilor, băncilor, precum și a industriilor jocurilor de noroc și a jocurilor de noroc. Cele mai afectate națiuni includ China, Statele Unite, Canada și Germania.

Experții indică faptul că Gorilla utilizează în primul rând metode precum UDP flood, ACK BYPASS flood, Valve Source Engine (VSE), flood SYN și ACK flood pentru a-și efectua atacurile DDoS. Natura fără conexiune a protocolului UDP permite falsificarea IP a surselor arbitrare, rezultând un volum semnificativ de trafic.

Pe lângă suportul pentru mai multe arhitecturi CPU, inclusiv ARM, MIPS, x86_64 și x86, botnetul este echipat cu capacitatea de a se conecta la unul dintre cele cinci servere de comandă și control (C2) predefinite pentru a primi comenzi DDoS.

Exploatarea vulnerabilităților și a mecanismului de persistență

Într-o dezvoltare notabilă, malware-ul încorporează funcții pentru a exploata o vulnerabilitate de securitate în Apache Hadoop YARN RPC, permițându-i să realizeze execuția de cod de la distanță. Acest defect special a fost exploatat în sălbăticie cel puțin din 2021.

Pentru a asigura persistența pe gazdă, malware-ul creează un fișier de serviciu numit custom.service în directorul /etc/systemd/system/, care este configurat să ruleze automat la pornirea sistemului. Acest serviciu are sarcina de a descărca și executa un script shell numit lol.sh de pe un server la distanță (pen.gorillafirewall.su). În plus, comenzi similare sunt inserate în fișierele /etc/inittab, /etc/profile și /boot/bootcmd pentru a facilita descărcarea și execuția scriptului shell la pornirea sistemului sau autentificarea utilizatorului.

Malware-ul introduce o varietate de metode de atac DDoS și folosește algoritmi de criptare utilizați în mod obișnuit de grupul Keksec pentru a ascunde informațiile critice. De asemenea, utilizează mai multe tehnici pentru a menține controlul pe termen lung asupra dispozitivelor IoT și a gazdelor cloud, reflectând o conștientizare sofisticată a măsurilor de contradetecție tipice familiilor de botnet emergente.

Unii cercetători în securitate sugerează că malware-ul Gorilla Botnet nu este complet nou, fiind activ de peste un an.