Peneliti keamanan siber telah menemukan keluarga malware botnet baru yang disebut Gorilla (alias GorillaBot) yang merupakan varian dari kode sumber botnet Mirai yang bocor.
Perusahaan keamanan siber NSFOCUS, yang mengidentifikasi aktivitas tersebut bulan lalu, mengatakan botnet tersebut “mengeluarkan lebih dari 300.000 perintah serangan, dengan kepadatan serangan yang mengejutkan” antara 4 September dan 27 September 2024. Tidak kurang dari 20.000 perintah dirancang untuk melakukan penolakan layanan terdistribusi (DDoS) serangan rata-rata dikeluarkan dari botnet setiap hari.
Botnet tersebut dikatakan telah menargetkan lebih dari 100 negara, menyerang universitas, situs web pemerintah, telekomunikasi, bank, game, dan sektor perjudian. Tiongkok, AS, Kanada, dan Jerman menjadi negara yang paling banyak diserang.
Perusahaan yang berkantor pusat di Beijing mengatakan bahwa Gorilla terutama menggunakan banjir UDP, banjir ACK BYPASS, banjir Valve Source Engine (VSE), banjir SYN, dan banjir ACK untuk melakukan serangan DDoS, menambahkan sifat protokol UDP yang tidak terhubung memungkinkan terjadinya spoofing IP sumber secara sewenang-wenang. untuk menghasilkan lalu lintas dalam jumlah besar.
Selain mendukung beberapa arsitektur CPU seperti ARM, MIPS, x86_64, dan x86, botnet hadir dengan kemampuan untuk terhubung dengan salah satu dari lima server perintah dan kontrol (C2) yang telah ditentukan sebelumnya untuk menunggu perintah DDoS.
Menariknya, malware ini juga menyematkan fungsi untuk mengeksploitasi kelemahan keamanan di Apache Hadoop YARN RPC untuk mencapai eksekusi kode jarak jauh. Perlu dicatat bahwa kekurangan ini telah disalahgunakan sejak tahun 2021, menurut Alibaba Cloud dan Trend Micro.
Kegigihan pada host dicapai dengan membuat file layanan bernama custom.service di direktori “/etc/systemd/system/” dan mengonfigurasinya agar berjalan secara otomatis setiap kali sistem dinyalakan.
Layanan ini, pada bagiannya, bertanggung jawab untuk mengunduh dan menjalankan skrip shell (“lol.sh”) dari server jarak jauh (“pen.gorillafirewall[.]su”). Perintah serupa juga ditambahkan ke file “/etc/inittab,” “/etc/profile,” dan “/boot/bootcmd” untuk mengunduh dan menjalankan skrip shell saat startup sistem atau login pengguna.
“Ini memperkenalkan berbagai metode serangan DDoS dan menggunakan algoritma enkripsi yang biasa digunakan oleh kelompok Keksec untuk menyembunyikan informasi penting, sambil menggunakan berbagai teknik untuk mempertahankan kontrol jangka panjang atas perangkat IoT dan host cloud, menunjukkan tingkat kesadaran kontra-deteksi yang tinggi sebagai sebuah upaya. keluarga botnet yang baru muncul,” kata NSFOCUS.