Pesquisadores de segurança cibernética descobriram uma nova família de malware botnet chamada Gorilla (também conhecida como GorillaBot), que se inspira no código-fonte vazado do botnet Mirai .
Gorilla Botnet
A empresa de segurança cibernética NSFOCUS, que identificou a atividade no mês passado, disse que a botnet "emitiu mais de 300.000 comandos de ataque, com uma densidade de ataque chocante" entre 4 e 27 de setembro de 2024. Nada menos que 20.000 comandos projetados para montar ataques distribuídos de negação de serviço (DDoS) foram emitidos pela botnet todos os dias, em média.
Dizem que o botnet teve como alvo mais de 100 países, atacando universidades, sites governamentais, telecomunicações, bancos, jogos e setores de apostas. China, EUA, Canadá e Alemanha surgiram como os países mais atacados.
A empresa sediada em Pequim disse que a Gorilla usa principalmente UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood e ACK flood para conduzir ataques DDoS, acrescentando que a natureza sem conexão do protocolo UDP permite falsificação arbitrária de IP de origem para gerar uma grande quantidade de tráfego.
Além de oferecer suporte a diversas arquiteturas de CPU, como ARM, MIPS, x86_64 e x86, a botnet vem com recursos para se conectar a um dos cinco servidores de comando e controle (C2) predefinidos para aguardar comandos DDoS.
Em uma reviravolta interessante, o malware também incorpora funções para explorar uma falha de segurança no Apache Hadoop YARN RPC para obter execução remota de código. Vale a pena notar que a deficiência foi abusada na natureza já em 2021, de acordo com a Alibaba Cloud e a Trend Micro.
A persistência no host é obtida criando um arquivo de serviço chamado custom.service no diretório "/etc/systemd/system/" e configurando-o para ser executado automaticamente sempre que o sistema for inicializado.
O serviço, por sua vez, é responsável por baixar e executar um script de shell ("lol.sh") de um servidor remoto ("pen.gorillafirewall[.]su"). Comandos semelhantes também são adicionados aos arquivos "/etc/inittab", "/etc/profile" e "/boot/bootcmd" para baixar e executar o script de shell na inicialização do sistema ou no login do usuário.
"Ele introduziu vários métodos de ataque DDoS e usou algoritmos de criptografia comumente empregados pelo grupo Keksec para ocultar informações importantes, ao mesmo tempo que empregava diversas técnicas para manter controle de longo prazo sobre dispositivos de IoT e hosts de nuvem, demonstrando um alto nível de conscientização sobre contradetecção como uma família de botnet emergente", disse a NSFOCUS.
Atualizar
Um pesquisador de segurança conhecido pelo pseudônimo online Fox_threatintel, em uma publicação compartilhada no X, disse que o malware botnet não é totalmente novo e que está ativo há mais de um ano.