Ботнет Gorilla

Дослідники з кібербезпеки ідентифікували нове сімейство зловмисного програмного забезпечення ботнету, відомого як Gorilla (або GorillaBot), яке базується на розкритому вихідному коді ботнету Mirai .

Згідно з даними експертів, які спостерігали за цією діяльністю, ботнет Gorilla виконав понад 300 000 команд атаки протягом надзвичайно короткого періоду з вражаючою швидкістю атаки у вересні 2024 року. У середньому ботнет запускав близько 20 000 команд щодня, спеціально спрямованих на сприяння розподіленій відмові. DDoS-атаки.

Понад 100 країн, націлених на спроби DDoS

Повідомляється, що ботнет був націлений на понад 100 країн, запускаючи атаки на університети, урядові веб-сайти, телекомунікації, банки, а також індустрію азартних ігор. Серед найбільш постраждалих країн – Китай, США, Канада та Німеччина.

Експерти вказують, що для здійснення DDoS-атак Gorilla в основному використовує такі методи, як UDP-флуд, ACK BYPASS-флуд, Valve Source Engine (VSE), SYN-флуд і ACK-флуд. Природа протоколу UDP без з’єднання дає змогу підробити IP-адресу довільного джерела, що призводить до значного обсягу трафіку.

На додаток до підтримки кількох архітектур ЦП, включаючи ARM, MIPS, x86_64 і x86, ботнет оснащений можливістю підключення до одного з п’яти попередньо визначених серверів командування та керування (C2) для отримання команд DDoS.

Використання вразливостей і механізм стійкості

Примітною подією є те, що зловмисне програмне забезпечення містить функції для використання вразливості безпеки в Apache Hadoop YARN RPC, що дозволяє досягти віддаленого виконання коду. Ця конкретна вада використовується в дикій природі принаймні з 2021 року.

Щоб забезпечити постійність на хості, зловмисне програмне забезпечення створює службовий файл під назвою custom.service у каталозі /etc/systemd/system/, який налаштовано на автоматичний запуск під час запуску системи. Ця служба має завдання завантажити та виконати сценарій оболонки під назвою lol.sh з віддаленого сервера (pen.gorillafirewall.su). Крім того, подібні команди вставляються у файли /etc/inittab, /etc/profile та /boot/bootcmd, щоб полегшити завантаження та виконання сценарію оболонки під час запуску системи або входу користувача.

Зловмисне програмне забезпечення представляє різноманітні методи атак DDoS і використовує алгоритми шифрування, які зазвичай використовуються групою Keksec для приховування важливої інформації. Він також використовує кілька методів для підтримки довгострокового контролю над пристроями Інтернету речей і хмарними хостами, що відображає складну обізнаність про заходи протидії виявлення, типові для нових сімейств ботнетів.

Деякі дослідники безпеки припускають, що зловмисне програмне забезпечення Gorilla Botnet не зовсім нове, воно активно працює вже більше року.