Penyelidik keselamatan siber telah menemui keluarga perisian hasad botnet baharu yang dipanggil Gorilla (aka GorillaBot) yang merupakan varian kod sumber botnet Mirai yang bocor .
Firma keselamatan siber NSFOCUS, yang mengenal pasti aktiviti itu bulan lepas, berkata botnet itu “mengeluarkan lebih 300,000 arahan serangan, dengan ketumpatan serangan yang mengejutkan” antara 4 September dan 27 September 2024. Tidak kurang daripada 20,000 arahan direka untuk memasang penolakan perkhidmatan yang diedarkan Serangan (DDoS) telah dikeluarkan dari botnet setiap hari secara purata.
Botnet itu dikatakan telah menyasarkan lebih daripada 100 negara, menyerang universiti, tapak web kerajaan, telekomunikasi, bank, permainan dan sektor perjudian. China, AS, Kanada, dan Jerman telah muncul sebagai negara yang paling banyak diserang.
Syarikat yang beribu pejabat di Beijing itu berkata Gorilla terutamanya menggunakan Flood UDP , Flood ACK BYPASS, Flood Enjin Sumber Injap (VSE) , Flood SYN dan Flood ACK untuk menjalankan serangan DDoS, sambil menambah sifat tanpa sambungan protokol UDP membenarkan penipuan IP sumber sewenang-wenangnya untuk menjana jumlah trafik yang besar.
Selain menyokong berbilang seni bina CPU seperti ARM, MIPS, x86_64 dan x86, botnet dilengkapi dengan keupayaan untuk menyambung dengan salah satu daripada lima pelayan arahan dan kawalan (C2) yang dipratentukan untuk menunggu arahan DDoS.
Dalam sentuhan yang menarik, perisian hasad juga membenamkan fungsi untuk mengeksploitasi kecacatan keselamatan dalam Apache Hadoop YARN RPC untuk mencapai pelaksanaan kod jauh. Perlu diingat bahawa kelemahan itu telah disalahgunakan di alam liar seawal tahun 2021, menurut Alibaba Cloud dan Trend Micro .
Kegigihan pada hos dicapai dengan mencipta fail perkhidmatan bernama custom.service dalam direktori “/etc/systemd/system/” dan mengkonfigurasinya untuk dijalankan secara automatik setiap kali pada permulaan sistem.
Perkhidmatan itu, bagi pihaknya, bertanggungjawab untuk memuat turun dan melaksanakan skrip shell (“lol.sh”) daripada pelayan jauh (“pen.gorillafirewall[.]su”). Perintah serupa juga ditambahkan pada fail “/etc/inittab,” “/etc/profile,” dan “/boot/bootcmd” untuk memuat turun dan menjalankan skrip shell semasa sistem dimulakan atau log masuk pengguna.
“Ia memperkenalkan pelbagai kaedah serangan DDoS dan menggunakan algoritma penyulitan yang biasa digunakan oleh kumpulan Keksec untuk menyembunyikan maklumat penting, sambil menggunakan pelbagai teknik untuk mengekalkan kawalan jangka panjang ke atas peranti IoT dan hos awan, menunjukkan tahap kesedaran pengesanan balas yang tinggi sebagai keluarga botnet yang baru muncul,” kata NSFOCUS.