Los investigadores de ciberseguridad han descubierto una nueva familia de malware de botnet llamada Gorilla (también conocido como GorillaBot) que es una variante del código fuente filtrado de la botnet Mirai.
La empresa de ciberseguridad NSFOCUS, que identificó la actividad el mes pasado, dijo que la botnet «emitió más de 300.000 comandos de ataque, con una densidad de ataque impactante» entre el 4 y el 27 de septiembre de 2024. No menos de 20.000 comandos diseñados para lanzar ataques distribuidos de denegación de servicio (DDoS) se han emitido desde la botnet todos los días en promedio.
Se dice que la botnet ha atacado a más de 100 países, universidades, sitios web gubernamentales, telecomunicaciones, bancos, juegos y apuestas. China, Estados Unidos, Canadá y Alemania han resultado ser los países más atacados.
La compañía con sede en Beijing dijo que Gorilla utiliza principalmente inundaciones UDP , inundaciones ACK BYPASS, inundaciones Valve Source Engine (VSE) , inundaciones SYN y inundaciones ACK para llevar a cabo los ataques DDoS, y agregó que la naturaleza sin conexión del protocolo UDP permite la suplantación de IP de fuente arbitraria para generar una gran cantidad de tráfico.
Además de soportar múltiples arquitecturas de CPU como ARM, MIPS, x86_64 y x86, la botnet viene con capacidades para conectarse con uno de los cinco servidores de comando y control (C2) predefinidos para esperar comandos DDoS.
En un giro interesante, el malware también incorpora funciones para explotar una falla de seguridad en Apache Hadoop YARN RPC para lograr la ejecución remota de código. Vale la pena señalar que la falla ha sido utilizada de manera abusiva desde 2021, según Alibaba Cloud y Trend Micro .
La persistencia en el host se logra creando un archivo de servicio llamado custom.service en el directorio «/etc/systemd/system/» y configurándolo para que se ejecute automáticamente cada vez que se inicia el sistema.
El servicio, por su parte, se encarga de descargar y ejecutar un script de shell («lol.sh») desde un servidor remoto («pen.gorillafirewall[.]su»). También se añaden comandos similares a los archivos «/etc/inittab», «/etc/profile» y «/boot/bootcmd» para descargar y ejecutar el script de shell al iniciar el sistema o al iniciar sesión el usuario.
«Introdujo varios métodos de ataque DDoS y utilizó algoritmos de cifrado comúnmente empleados por el grupo Keksec para ocultar información clave, al tiempo que empleaba múltiples técnicas para mantener el control a largo plazo sobre los dispositivos IoT y los hosts en la nube, lo que demuestra un alto nivel de conciencia de contradetección como una familia de botnets emergente», dijo NSFOCUS.
Fuente y redacción: thehackernews.com