Gorilla Botnet

Cybersäkerhetsforskare har identifierat en ny familj av botnet-skadlig programvara känd som Gorilla (eller GorillaBot), som är baserad på den avslöjade källkoden för Mirai Botnet .

Enligt experterna som övervakar denna aktivitet, utförde Gorilla-botnätet mer än 300 000 attackkommandon inom en anmärkningsvärt kort period, med en häpnadsväckande attackhastighet i september 2024. I genomsnitt lanserade botnätet cirka 20 000 kommandon dagligen, specifikt inriktade på att underlätta distribuerad förnekelse. of-service (DDoS) attacker.

Över 100 länder inriktade på DDoS-försök

Botnätet rapporteras ha riktat in sig på över 100 länder och lanserat attacker mot universitet, statliga webbplatser, telekommunikation, banker samt spel- och spelindustrin. De mest drabbade länderna är Kina, USA, Kanada och Tyskland.

Experter indikerar att Gorilla främst använder metoder som UDP-flod, ACK BYPASS-flod, Valve Source Engine (VSE)-flod, SYN-flod och ACK-flod för att utföra sina DDoS-attacker. UDP-protokollets anslutningslösa karaktär möjliggör godtycklig IP-förfalskning, vilket resulterar i en betydande trafikvolym.

Utöver stödet för flera CPU-arkitekturer, inklusive ARM, MIPS, x86_64 och x86, är botnätet utrustat med möjligheten att ansluta till en av fem fördefinierade Command-and-Control (C2)-servrar för att ta emot DDoS-kommandon.

Utnyttja sårbarheter och persistensmekanism

I en anmärkningsvärd utveckling innehåller den skadliga programvaran funktioner för att utnyttja en säkerhetssårbarhet i Apache Hadoop YARN RPC, vilket gör att den kan utföra fjärrkörning av kod. Denna speciella brist har utnyttjats i naturen sedan åtminstone 2021.

För att säkerställa beständighet på värden skapar skadlig programvara en tjänstefil med namnet custom.service i katalogen /etc/systemd/system/, som är konfigurerad att köras automatiskt vid systemstart. Denna tjänst har till uppgift att ladda ner och köra ett skalskript som heter lol.sh från en fjärrserver (pen.gorillafirewall.su). Dessutom infogas liknande kommandon i filerna /etc/inittab, /etc/profile och /boot/bootcmd för att underlätta nedladdning och exekvering av skalskriptet vid systemstart eller användarinloggning.

Skadlig programvara introducerar en mängd olika DDoS-attackmetoder och använder krypteringsalgoritmer som vanligtvis används av Keksec-gruppen för att dölja kritisk information. Den använder också flera tekniker för att upprätthålla långsiktig kontroll över IoT-enheter och molnvärdar, vilket återspeglar en sofistikerad medvetenhet om åtgärder för motdetektering som är typiska för framväxande botnätfamiljer.

Vissa säkerhetsforskare antyder att Gorilla Botnet skadlig programvara inte är helt ny, eftersom den har varit aktiv i över ett år.