Gorilla Botnet

Studiuesit e sigurisë kibernetike kanë identifikuar një familje të re malware botnet të njohur si Gorilla (ose GorillaBot), i cili bazohet në kodin burimor të zbuluar të Mirai Botnet .

Sipas ekspertëve që monitorojnë këtë aktivitet, botnet-i Gorilla ekzekutoi më shumë se 300,000 komanda sulmi brenda një periudhe jashtëzakonisht të shkurtër, me një shkallë sulmi mahnitëse në shtator 2024. Mesatarisht, botnet-i lëshonte rreth 20,000 komanda në ditë, veçanërisht për të lehtësuar mohimin e shpërndarë- sulmet e shërbimit (DDoS).

Mbi 100 vende të synuara nga Përpjekjet DDoS

Botnet raportohet të ketë shënjestruar mbi 100 vende, duke nisur sulme kundër universiteteve, faqeve të internetit të qeverisë, telekomunikacionit, bankave, si dhe industrive të lojërave të fatit dhe lojërave të fatit. Vendet më të prekura përfshijnë Kinën, Shtetet e Bashkuara, Kanadanë dhe Gjermaninë.

Ekspertët tregojnë se Gorilla kryesisht përdor metoda të tilla si përmbytja UDP, përmbytja ACK BYPASS, përmbytja e motorit të burimit të valvulave (VSE), përmbytja SYN dhe përmbytja ACK për të kryer sulmet e saj DDoS. Natyra pa lidhje e protokollit UDP mundëson mashtrimin arbitrar të IP-së me burim, duke rezultuar në një vëllim të konsiderueshëm trafiku.

Përveç mbështetjes së tij për arkitekturat e shumta të CPU, duke përfshirë ARM, MIPS, x86_64 dhe x86, botnet-i është i pajisur me aftësinë për t'u lidhur me një nga pesë serverët e paracaktuar Command-and-Control (C2) për të marrë komandat DDoS.

Shfrytëzimi i dobësive dhe mekanizmi i qëndrueshmërisë

Në një zhvillim të dukshëm, malware përfshin funksione për të shfrytëzuar një dobësi sigurie në Apache Hadoop YARN RPC, duke e lejuar atë të arrijë ekzekutimin e kodit në distancë. Kjo e metë e veçantë është shfrytëzuar në natyrë që të paktën që nga viti 2021.

Për të siguruar qëndrueshmëri në host, malware krijon një skedar shërbimi të quajtur custom.service në drejtorinë /etc/systemd/system/, i cili është konfiguruar të funksionojë automatikisht në fillimin e sistemit. Ky shërbim ka për detyrë shkarkimin dhe ekzekutimin e një skripti shell të quajtur lol.sh nga një server në distancë (pen.gorillafirewall.su). Për më tepër, komanda të ngjashme futen në skedarët /etc/inittab, /etc/profile dhe /boot/bootcmd për të lehtësuar shkarkimin dhe ekzekutimin e skriptit të guaskës pas fillimit të sistemit ose hyrjes së përdoruesit.

Malware prezanton një shumëllojshmëri metodash sulmi DDoS dhe përdor algoritme enkriptimi që përdoren zakonisht nga grupi Keksec për të errësuar informacionin kritik. Ai gjithashtu përdor teknika të shumta për të mbajtur kontrollin afatgjatë mbi pajisjet IoT dhe hostet e resë kompjuterike, duke reflektuar një ndërgjegjësim të sofistikuar për masat e kundërzbulimit, tipike për familjet në zhvillim të botnet.

Disa studiues të sigurisë sugjerojnë se malware Gorilla Botnet nuk është krejtësisht i ri, pasi ka qenë aktiv për më shumë se një vit.