Les chercheurs en cybersécurité ont découvert une nouvelle famille de logiciels malveillants de botnet appelée Gorilla (alias GorillaBot) qui est une variante du code source du botnet Mirai divulgué.
La société de cybersécurité NSFOCUS, qui a identifié l’activité le mois dernier, dit le botnet « a émis plus de 300 000 commandes d’attaque, avec une densité d’attaque choquante » entre le 4 et le 27 septembre 2024. Pas moins de 20 000 commandes conçues pour lancer des attaques par déni de service distribué (DDoS) ont été émises chaque jour par le botnet. en moyenne.
Le botnet aurait ciblé plus de 100 pays, attaquant des universités, des sites Web gouvernementaux, des télécommunications, des banques, des jeux et des secteurs de jeux de hasard. La Chine, les États-Unis, le Canada et l’Allemagne sont devenus les pays les plus attaqués.
La société basée à Pékin a déclaré que Gorilla utilise principalement Inondation UDPACK BYPASS inondation, Inondation du moteur à source de soupape (VSE), Inondation SYNet Inondation d’ACK pour mener les attaques DDoS, l’ajout de la nature sans connexion du protocole UDP permet une usurpation arbitraire de l’adresse IP source pour générer une grande quantité de trafic.
En plus de prendre en charge plusieurs architectures de processeur telles que ARM, MIPS, x86_64 et x86, le botnet est doté de fonctionnalités permettant de se connecter à l’un des cinq serveurs de commande et de contrôle (C2) prédéfinis pour attendre les commandes DDoS.
Chose intéressante, le malware intègre également des fonctions permettant d’exploiter une faille de sécurité dans Apache Hadoop YARN RPC afin de réaliser l’exécution de code à distance. Il convient de noter que cette lacune a été exploitée dans la nature dès 2021, selon Alibaba Nuage et Tendance Micro.
La persistance sur l’hôte est obtenue en créant un fichier de service nommé custom.service dans le répertoire « /etc/systemd/system/ » et en le configurant pour qu’il s’exécute automatiquement à chaque démarrage du système.
Le service, quant à lui, se charge de télécharger et d’exécuter un script shell (« lol.sh ») depuis un serveur distant (« pen.gorillafirewall[.]su »). Des commandes similaires sont également ajoutées aux fichiers « /etc/inittab », « /etc/profile » et « /boot/bootcmd » pour télécharger et exécuter le script shell au démarrage du système ou à la connexion de l’utilisateur.
« Il a introduit diverses méthodes d’attaque DDoS et utilisé des algorithmes de chiffrement couramment utilisés par le groupe Keksec pour masquer des informations clés, tout en employant plusieurs techniques pour maintenir un contrôle à long terme sur les appareils IoT et les hôtes cloud, démontrant un niveau élevé de sensibilisation à la contre-détection en tant que solution. nouvelle famille de botnets », a déclaré NSFOCUS.