Một nhóm các nhà nghiên cứu an ninh mạng vừa phát hiện ra dòng mã độc botnet mới có tên gọi Gorilla (còn được biết đến với tên GorillaBot), lấy cảm hứng từ mã nguồn botnet Mirai bị rò rỉ. Công ty an ninh mạng NSFOCUS, đã xác định hoạt động của mã độc này từ tháng trước, cho biết botnet đã phát động “hơn 300,000 lệnh tấn công với mật độ tấn công đáng kinh ngạc” từ ngày 4 đến 27 tháng 9 năm 2024. Trung bình, botnet này phát động ít nhất 20,000 lệnh tấn công từ chối dịch vụ phân tán (DDoS) hàng ngày.
Botnet này được cho là đã tấn công hơn 100 quốc gia, nhắm vào các trường đại học, trang web chính phủ, các công ty viễn thông, ngân hàng, và các ngành công nghiệp trò chơi điện tử và cờ bạc. Trung Quốc, Mỹ, Canada và Đức là những nước bị tấn công nhiều nhất. NSFOCUS, có trụ sở tại Bắc Kinh, cho biết Gorilla chủ yếu sử dụng các hình thức tấn công UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood, và ACK flood để thực hiện các cuộc tấn công DDoS. Đặc biệt là bản chất không có kết nối của giao thức UDP cho phép giả mạo địa chỉ IP nguồn một cách tùy ý để tạo ra lượng lớn lưu lượng tấn công.
Không chỉ hỗ trợ nhiều kiến trúc CPU như ARM, MIPS, x86_64, và x86, botnet này còn có khả năng kết nối với một trong năm máy chủ điều khiển và điều khiển (C2) đã được định trước để chờ nhận lệnh DDoS. Đặc biệt hơn, phần mềm độc hại này còn tích hợp cả các chức năng khai thác một lỗ hổng bảo mật trong Apache Hadoop YARN RPC để thực hiện việc thực thi mã từ xa, vốn đã bị lợi dụng trên thực tế từ năm 2021 theo thông tin từ Alibaba Cloud và Trend Micro.
Để duy trì sự tồn tại trên máy chủ, mã độc tạo ra một tập tin dịch vụ có tên custom.service trong thư mục “/etc/systemd/system/” và cấu hình nó để chạy tự động mỗi khi hệ thống khởi động. Dịch vụ này chịu trách nhiệm tải xuống và thực thi một tập tin script shell (“lol.sh”) từ một máy chủ từ xa (“pen.gorillafirewall[.]su”). Các lệnh tương tự cũng được thêm vào các tập tin “/etc/inittab,” “/etc/profile,” và “/boot/bootcmd” để tải và chạy script shell khi hệ thống khởi động hoặc người dùng đăng nhập.
“Botnet này đã giới thiệu nhiều phương pháp tấn công DDoS khác nhau và sử dụng các thuật toán mã hóa thường được nhóm Keksec sử dụng để che giấu thông tin quan trọng. Đồng thời, nó sử dụng nhiều kỹ thuật để duy trì quyền kiểm soát lâu dài đối với các thiết bị IoT và máy chủ đám mây, cho thấy mức độ nhận thức cao về phát hiện ngược trong khi là một dòng botnet mới nổi,” NSFOCUS cho biết.
Một nhà nghiên cứu an ninh mạng có biệt danh Fox_threatintel đã chia sẻ trên X rằng, phần mềm độc hại botnet này không hoàn toàn mới và đã hoạt động trong hơn một năm.