Cybersecurity-onderzoekers hebben een nieuwe botnet-malwarefamilie ontdekt genaamd Gorilla (ook bekend als GorillaBot), een variant van de gelekte Mirai-botnetbroncode.
Cyberbeveiligingsbedrijf NSFOCUS, dat de activiteit vorige maand identificeerde, zei dat het botnet tussen 4 en 27 september 2024 “meer dan 300.000 aanvalsopdrachten uitvaardigde, met een schokkende aanvalsdichtheid”. Niet minder dan 20.000 opdrachten ontworpen om gedistribueerde denial-of-service op te zetten Vanaf het botnet worden gemiddeld dagelijks (DDoS-)aanvallen uitgevoerd.
Het botnet zou zich op meer dan 100 landen hebben gericht en universiteiten, overheidswebsites, telecombedrijven, banken, gaming en goksectoren hebben aangevallen. China, de VS, Canada en Duitsland zijn de meest aangevallen landen gebleken.
Het bedrijf met het hoofdkantoor in Beijing zei dat Gorilla voornamelijk UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood en ACK flood gebruikt om de DDoS-aanvallen uit te voeren, waarbij het verbindingsloze karakter van het UDP-protocol IP-spoofing van willekeurige bronnen mogelijk maakt. om een grote hoeveelheid verkeer te genereren.
Naast het ondersteunen van meerdere CPU-architecturen zoals ARM, MIPS, x86_64 en x86, biedt het botnet mogelijkheden om verbinding te maken met een van de vijf vooraf gedefinieerde command-and-control (C2)-servers om te wachten op DDoS-opdrachten.
Interessant is dat de malware ook functies insluit om een beveiligingsfout in Apache Hadoop YARN RPC te misbruiken om code-uitvoering op afstand te bewerkstelligen. Volgens Alibaba Cloud en Trend Micro is het vermeldenswaard dat deze tekortkoming al in 2021 in het wild wordt misbruikt.
Persistentie op de host wordt bereikt door een servicebestand met de naam custom.service te maken in de map “/etc/systemd/system/” en dit zo te configureren dat het elke keer automatisch wordt uitgevoerd bij het opstarten van het systeem.
De dienst is op zijn beurt verantwoordelijk voor het downloaden en uitvoeren van een shellscript (“lol.sh”) vanaf een externe server (“pen.gorillafirewall(.)su”). Soortgelijke opdrachten worden ook toegevoegd aan de bestanden “/etc/inittab”, “/etc/profile” en “/boot/bootcmd” om het shell-script te downloaden en uit te voeren bij het opstarten van het systeem of bij het inloggen van de gebruiker.
“Het introduceerde verschillende DDoS-aanvalsmethoden en gebruikte versleutelingsalgoritmen die gewoonlijk door de Keksec-groep worden gebruikt om belangrijke informatie te verbergen, terwijl het tegelijkertijd meerdere technieken gebruikt om op lange termijn controle te behouden over IoT-apparaten en cloudhosts, wat een hoog niveau van tegendetectiebewustzijn aantoont als een opkomende botnetfamilie”, aldus NSFOCUS.
