Pesquisadores de segurança cibernética descobriram uma nova família de malware de botnet chamada Gorilla (também conhecida como GorillaBot), que é uma variante do código-fonte vazado do botnet Mirai.
A empresa de segurança cibernética NSFOCUS, que identificou a atividade no mês passado, disse que a botnet “emitiu mais de 300.000 comandos de ataque, com um ataque humano alarmante” entre 4 e 27 de setembro de 2024. Os ataques (DDoS) foram emitidos a partir da botnet todos os dias, em média .
Diz-se que a botnet teve como alvo mais de 100 países, atacando universidades, sites governamentais, telefones, bancos, jogos e setores de jogos de azar. China, EUA, Canadá e Alemanha surgiram como os países mais afetados.
A empresa com sede em Pequim disse que Gorilla usa principalmente inundações UDP, inundações ACK BYPASS, inundações Valve Source Engine (VSE), inundações SYN e inundações ACK para ataques DDoS, aumentando a desconexão do protocolo -UDP permite uma fonte não oficial de IP. falsificação. gerando uma grande quantidade de tráfego.
Além de suportar múltiplas arquiteturas de CPU, como ARM, MIPS, x86_64 e x86, o botnet vem com a capacidade de se conectar a um dos cinco servidores de controle predefinidos (C2) para aguardar comandos DDoS.
Em uma reviravolta interessante, o malware também incorpora funções para explorar uma falha de segurança no Apache Hadoop YARN RPC para obter execução remota de código. É importante notar que o déficit tem sido abusado desde 2021, de acordo com Alibaba Cloud e Trend Micro.
A persistência do host é obtida criando um arquivo de serviço chamado custom.service no diretório “/etc/systemd/system/” e configurando-o para ser executado automaticamente sempre que o sistema for iniciado.
O serviço, por outro lado, é responsável por baixar e executar um script shell (“lol.sh”) do servidor remoto (“pen.gorillafirewall[.]su”). Comandos semelhantes também são adicionados aos arquivos “/etc/inittab,” “/etc/profile” e “/boot/bootcmd” para baixar e executar um script de shell na inicialização do sistema ou no login do usuário.
“Ele introduziu vários métodos de ataque DDoS e usou algoritmos de criptografia comumente usados pelo grupo Keksec para ocultar informações importantes, ao mesmo tempo em que usou muitas técnicas para manter o controle de longo prazo sobre dispositivos IoT e hosts em nuvem, mostrando um alto nível de consciência da contra-detecção como uma organização de informação.
