Горилла Ботнет

Исследователи по кибербезопасности выявили новое семейство вредоносных ботнетов, известное как Gorilla (или GorillaBot), которое основано на раскрытом исходном коде ботнета Mirai .

По данным экспертов, отслеживающих эту активность, ботнет Gorilla выполнил более 300 000 команд атак за удивительно короткий период времени, при этом в сентябре 2024 года был зафиксирован поразительный уровень атак. В среднем ботнет запускал около 20 000 команд ежедневно, специально направленных на организацию распределенных атак типа «отказ в обслуживании» (DDoS).

Более 100 стран подверглись попыткам DDoS-атак

Сообщается, что ботнет был нацелен на более чем 100 стран, начав атаки против университетов, правительственных веб-сайтов, телекоммуникаций, банков, а также игровой и азартной индустрии. Наиболее пострадавшими странами являются Китай, США, Канада и Германия.

Эксперты указывают, что Gorilla в основном использует такие методы, как UDP-флуд, ACK BYPASS-флуд, Valve Source Engine (VSE)-флуд, SYN-флуд и ACK-флуд для осуществления своих DDoS-атак. Безсоединительная природа протокола UDP позволяет произвольно подменять исходный IP-адрес, что приводит к значительному объему трафика.

Помимо поддержки нескольких архитектур ЦП, включая ARM, MIPS, x86_64 и x86, ботнет оснащен возможностью подключения к одному из пяти предопределенных серверов управления и контроля (C2) для получения команд DDoS.

Эксплуатация уязвимостей и механизма устойчивости

В заметном развитии вредоносная программа включает функции для эксплуатации уязвимости безопасности в Apache Hadoop YARN RPC, что позволяет ей осуществлять удаленное выполнение кода. Эта конкретная уязвимость эксплуатируется в дикой природе по крайней мере с 2021 года.

Чтобы обеспечить сохранение на хосте, вредоносная программа создает файл службы с именем custom.service в каталоге /etc/systemd/system/, который настроен на автоматический запуск при запуске системы. Эта служба отвечает за загрузку и выполнение скрипта оболочки lol.sh с удаленного сервера (pen.gorillafirewall.su). Кроме того, аналогичные команды вставляются в файлы /etc/inittab, /etc/profile и /boot/bootcmd для облегчения загрузки и выполнения скрипта оболочки при запуске системы или входе пользователя в систему.

Вредоносная программа внедряет различные методы DDoS-атак и использует алгоритмы шифрования, обычно используемые группой Keksec для сокрытия важной информации. Она также использует несколько методов для поддержания долгосрочного контроля над устройствами IoT и облачными хостами, что отражает сложную осведомленность о мерах противодействия обнаружению, типичную для новых семейств ботнетов.

Некоторые исследователи в области безопасности предполагают, что вредоносная программа Gorilla Botnet не является чем-то новым, поскольку она активна уже более года.