Le nouveau botnet Gorilla lance plus de 300 000 attaques DDoS dans 100 pays
Des chercheurs en cybersécurité ont découvert une nouvelle famille de malwares botnet appelée Gorilla (alias GorillaBot), qui est une variante du code source du botnet Mirai qui a fuité.
La société de cybersécurité NSFOCUS, qui a identifié l’activité le mois dernier, a déclaré que le botnet « a émis plus de 300 000 commandes d’attaque, avec une densité d’attaque choquante » entre le 4 et le 27 septembre 2024. Pas moins de 20 000 commandes conçues pour lancer des attaques par déni de service distribué (DDoS) ont été émises par le botnet chaque jour en moyenne.
Le botnet aurait ciblé plus de 100 pays, attaquant des universités, des sites Web gouvernementaux, des télécommunications, des banques, des jeux et des paris. La Chine, les États-Unis, le Canada et l’Allemagne sont les pays les plus attaqués.
La société basée à Pékin a déclaré que Gorilla utilise principalement les attaques UDP flood , ACK BYPASS flood, Valve Source Engine (VSE) flood , SYN flood et ACK flood pour mener des attaques DDoS, ajoutant que la nature sans connexion du protocole UDP permet l’usurpation arbitraire d’adresse IP source pour générer une grande quantité de trafic.
Outre la prise en charge de plusieurs architectures de processeurs telles que ARM, MIPS, x86_64 et x86, le botnet est doté de capacités permettant de se connecter à l’un des cinq serveurs de commande et de contrôle (C2) prédéfinis pour attendre les commandes DDoS.
Fait intéressant, le malware intègre également des fonctions permettant d’exploiter une faille de sécurité dans Apache Hadoop YARN RPC pour réaliser l’exécution de code à distance. Il convient de noter que cette faille a été exploitée de manière abusive dès 2021, selon Alibaba Cloud et Trend Micro .
La persistance sur l’hôte est obtenue en créant un fichier de service nommé custom.service dans le répertoire « /etc/systemd/system/ » et en le configurant pour qu’il s’exécute automatiquement à chaque démarrage du système.
Le service, quant à lui, est responsable du téléchargement et de l’exécution d’un script shell (« lol.sh ») depuis un serveur distant (« pen.gorillafirewall[.]su »). Des commandes similaires sont également ajoutées aux fichiers « /etc/inittab », « /etc/profile » et « /boot/bootcmd » pour télécharger et exécuter le script shell au démarrage du système ou à la connexion de l’utilisateur.
« Il a introduit diverses méthodes d’attaque DDoS et utilisé des algorithmes de cryptage couramment utilisés par le groupe Keksec pour masquer des informations clés, tout en employant plusieurs techniques pour maintenir un contrôle à long terme sur les appareils IoT et les hôtes cloud, démontrant un niveau élevé de sensibilisation à la contre-détection en tant que famille de botnets émergente », a déclaré NSFOCUS.