VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một họ phần mềm độc hại botnet mới có tên Gorilla (hay còn gọi là GorillaBot) lấy cảm hứng từ mã nguồn botnet Mirai bị rò rỉ.

Công ty an ninh mạng NSFOCUS, đơn vị đã phát hiện hoạt động này vào tháng trước, cho biết botnet "đã phát hành hơn 300.000 lệnh tấn công, với mật độ tấn công đáng kinh ngạc" từ ngày 4 tháng 9 đến ngày 27 tháng 9 năm 2024. Trung bình, mỗi ngày botnet phát hành không dưới 20.000 lệnh được thiết kế để thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS).


Mạng botnet này được cho là đã nhắm mục tiêu đến hơn 100 quốc gia, tấn công các trường đại học, trang web của chính phủ, viễn thông, ngân hàng, trò chơi và các lĩnh vực cờ bạc. Trung Quốc, Hoa Kỳ, Canada và Đức nổi lên là những quốc gia bị tấn công nhiều nhất.

Công ty có trụ sở tại Bắc Kinh cho biết Gorilla chủ yếu sử dụng UDP flood, ACK BYPASS flood, Valve Source Engine (VSE), SYN flood và ACK flood để thực hiện các cuộc tấn công DDoS, đồng thời thêm vào đó là bản chất không kết nối của giao thức UDP cho phép giả mạo IP nguồn tùy ý để tạo ra một lượng lớn lưu lượng truy cập.

Bên cạnh việc hỗ trợ nhiều kiến trúc CPU như ARM, MIPS, x86_64 và x86, botnet còn có khả năng kết nối với một trong năm máy chủ chỉ huy và điều khiển (C2) được xác định trước để chờ lệnh DDoS.

Trong một diễn biến thú vị, phần mềm độc hại này cũng nhúng các chức năng để khai thác lỗ hổng bảo mật trong Apache Hadoop YARN RPC để thực hiện mã từ xa. Cần lưu ý rằng lỗ hổng này đã bị lạm dụng trong tự nhiên từ năm 2021, theo Alibaba Cloud và Trend Micro.

Tính bền bỉ trên máy chủ được đạt được bằng cách tạo một tệp dịch vụ có tên custom.service trong thư mục "/etc/systemd/system/" và cấu hình để nó chạy tự động mỗi khi hệ thống khởi động.

Về phần mình, dịch vụ này chịu trách nhiệm tải xuống và thực thi tập lệnh shell ("lol.sh") từ máy chủ từ xa ("pen.gorillafirewall[.]su"). Các lệnh tương tự cũng được thêm vào các tệp "/etc/inittab," "/etc/profile," và "/boot/bootcmd" để tải xuống và chạy tập lệnh shell khi hệ thống khởi động hoặc người dùng đăng nhập.

NSFOCUS cho biết : "Nó đã giới thiệu nhiều phương pháp tấn công DDoS khác nhau và sử dụng các thuật toán mã hóa thường được nhóm Keksec sử dụng để ẩn thông tin quan trọng, đồng thời sử dụng nhiều kỹ thuật để duy trì quyền kiểm soát lâu dài đối với các thiết bị IoT và máy chủ đám mây, chứng tỏ mức độ nhận thức chống phát hiện cao như một họ botnet mới nổi".

Một nhà nghiên cứu bảo mật có biệt danh trực tuyến là Fox_threatintel, trong bài đăng chia sẻ trên X, cho biết phần mềm độc hại botnet này không hoàn toàn mới và đã hoạt động trong hơn một năm.