La nueva botnet Gorilla lanza más de 300.000 ataques DDoS en 100 países

Gorilla Botnet

7 de octubre de 2024Lakshmanan encantadoSeguridad de IoT y botnets

Red de bots gorila

Investigadores de ciberseguridad han descubierto una nueva familia de malware de botnet llamada Gorilla (también conocido como GorillaBot), que es una variante del código fuente de la botnet Mirai filtrado.

La empresa de ciberseguridad NSFOCUS, que identificó la actividad el mes pasado, dicho la botnet “emitió más de 300.000 comandos de ataque, con una densidad de ataque impactante” entre el 4 y el 27 de septiembre de 2024. Cada día, la botnet emitió hasta 20.000 comandos diseñados para lanzar ataques distribuidos de denegación de servicio (DDoS). de término medio.

Ciberseguridad

Según se informa, la botnet se dirigió a más de 100 países, atacando universidades, sitios web gubernamentales, telecomunicaciones, bancos, juegos y sectores de apuestas. China, Estados Unidos, Canadá y Alemania se convirtieron en los países más atacados.

La empresa con sede en Beijing dijo que Gorilla utiliza principalmente Inundación UDPACK BYPASS inundación, Inundación del motor de fuente de válvula (VSE), Inundación SYNY Inundación de ACK Para llevar a cabo ataques DDoS, agregar la naturaleza sin conexión del protocolo UDP permite la suplantación arbitraria de la dirección IP de origen para generar una gran cantidad de tráfico.

Además de admitir múltiples arquitecturas de procesador como ARM, MIPS, x86_64 y x86, la botnet viene con funciones para conectarse a uno de los cinco servidores de comando y control (C2) predefinidos para esperar comandos DDoS.

Curiosamente, el malware también incluye funciones para explotar una vulnerabilidad de seguridad en Apache Hadoop YARN RPC para lograr la ejecución remota de código. Cabe señalar que esta brecha ha sido explotada en la naturaleza ya en 2021, según Nube de Alibaba Y Microtendencia.

La persistencia en el host se logra creando un archivo de servicio llamado custom.service en el directorio «/etc/systemd/system/» y configurándolo para que se ejecute automáticamente cada vez que se inicia el sistema.

Ciberseguridad

El servicio, por su parte, se encarga de descargar y ejecutar un script de shell («lol.sh») desde un servidor remoto («pen.gorillafirewall»).[.]su»). También se agregan comandos similares a los archivos «/etc/inittab», «/etc/profile» y «/boot/bootcmd» para descargar y ejecutar el script de shell al iniciar el sistema o iniciar sesión en la computadora.

“Introdujo varios métodos de ataque DDoS y utilizó algoritmos de cifrado comúnmente utilizados por el grupo Keksec para ocultar información clave, mientras empleaba múltiples técnicas para mantener el control a largo plazo sobre los dispositivos IoT y los hosts en la nube, lo que demuestra un alto nivel de conciencia de la contradetección como una solución. nueva familia de botnets”, dijo NSFOCUS.

¿Te pareció interesante este artículo? Síguenos en Gorjeo Y LinkedIn para leer más contenido exclusivo que publicamos.