Горилла Ботнет

Истраживачи сајбер безбедности идентификовали су нову породицу ботнет малвера познату као Горилла (или ГориллаБот), која је заснована на откривеном изворном коду Мираи Ботнета .

Према експертима који прате ову активност, Горилла ботнет је извршио више од 300.000 команди за напад у изузетно кратком периоду, са запањујућом стопом напада у септембру 2024. У просеку, ботнет је покретао око 20.000 команди дневно, посебно усмерених на омогућавање дистрибуираног одбијања напади ван услуге (ДДоС).

Преко 100 земаља циљаних покушајима ДДоС-а

Извештава се да је ботнет циљао преко 100 земаља, покрећући нападе на универзитете, владине веб странице, телекомуникације, банке, као и индустрију игара и коцкања. Најпогођеније земље су Кина, Сједињене Државе, Канада и Немачка.

Стручњаци указују да Горилла првенствено користи методе као што су УДП флоод, АЦК БИПАСС флоод, Валве Соурце Енгине (ВСЕ) флоод, СИН флоод и АЦК флоод да би извршио своје ДДоС нападе. Природа УДП протокола без повезивања омогућава произвољно лажирање ИП-а извора, што резултира значајним обимом саобраћаја.

Поред подршке за вишеструке ЦПУ архитектуре, укључујући АРМ, МИПС, к86_64 и к86, ботнет је опремљен могућношћу повезивања на један од пет унапред дефинисаних сервера за команду и контролу (Ц2) ради примања ДДоС команди.

Искоришћавање рањивости и механизам упорности

У значајном развоју, малвер укључује функције за искоришћавање безбедносне рањивости у Апацхе Хадооп ИАРН РПЦ-у, омогућавајући му да постигне даљинско извршавање кода. Ова конкретна мана се користи у дивљини од најмање 2021.

Да би обезбедио постојаност на хосту, злонамерни софтвер креира сервисну датотеку под називом цустом.сервице у директоријуму /етц/системд/систем/, која је конфигурисана да се покреће аутоматски при покретању система. Ова услуга има задатак да преузме и изврши схелл скрипту под називом лол.сх са удаљеног сервера (пен.гориллафиревалл.су). Поред тога, сличне команде се убацују у датотеке /етц/иниттаб, /етц/профиле и /боот/боотцмд да би се олакшало преузимање и извршавање схелл скрипте након покретања система или пријављивања корисника.

Злонамерни софтвер уводи различите методе ДДоС напада и користи алгоритме за шифровање које Кексец група обично користи за прикривање критичних информација. Такође користи више техника за одржавање дугорочне контроле над ИоТ уређајима и хостовима у облаку, одражавајући софистицирану свест о мерама контрадетекције типичним за породице ботнет-а у настајању.

Неки истраживачи безбедности сугеришу да малвер Горилла Ботнет није сасвим нов, јер је активан више од годину дана.