Специалисты по кибербезопасности обнаружили новую семью ботнетов под названием Gorilla (или GorillaBot), которая является вариантом утекшего исходного кода ботнета Mirai. Компания NSFOCUS, занимающаяся вопросами кибербезопасности, выявила активность этой сети в прошлом месяце, отметив, что ботнет выполнил более 300 000 атакующих команд с высокой плотностью атак в период с 4 по 27 сентября 2024 года. В среднем, ежедневно ботнет отправлял более 20 000 команд, направленных на проведение распределенных атак типа "отказ в обслуживании" (DDoS).
Ботнет атаковал свыше 100 стран, включая университеты, правительственные сайты, телекоммуникационные компании, банки, игровые и азартные сектора. Наибольшему числу атак подверглись Россия, Китай, США, Канада и Германия.
По данным компании, находящейся в Пекине, ботнет Gorilla преимущественно использует методы DDoS-атак, такие как UDP flood, ACK BYPASS flood, SYN flood, VSE flood и ACK flood. Свойства протокола UDP, не требующего установления соединения, позволяют использовать поддельные IP-адреса для создания огромного потока трафика.
Кроме того, ботнет поддерживает различные процессорные архитектуры, такие как ARM, MIPS, x86_64 и x86, и обладает способностью подключаться к одному из пяти заранее определенных серверов команд и управления (C2) для получения инструкций по проведению атак DDoS.
Интересная деталь заключается в том, что вредоносное ПО также содержит функции для эксплуатации уязвимости в системе Apache Hadoop YARN RPC, что позволяет выполнять удаленный код. Эта уязвимость эксплуатируется в реальных атаках с 2021 года, согласно данным компаний Alibaba Cloud и Trend Micro.
Для сохранения на устройстве, вредоносное ПО создает файл службы под названием "custom.service" в директории "/etc/systemd/system/" и настраивает его для автоматического запуска при каждой загрузке системы. Также команда для загрузки и выполнения shell-скрипта ("lol.sh") добавляется в файлы "/etc/inittab," "/etc/profile" и "/boot/bootcmd," обеспечивая запуск скрипта при старте системы или входе пользователя.
Необходимо отметить, что ботнет Gorilla применяет различные методы DDoS-атак, использует алгоритмы шифрования, популярные у группы Keksec, и реализует несколько техник для долговременного контроля над IoT-устройствами и облачными серверами, демонстрируя высокий уровень осведомленности о методах противодействия обнаружению, характерный для новой ботнет-семьи.
