В сентябре 2024 года Глобальная система поиска угроз NSFOCUS выявила всплеск активности нового семейства ботнетов под названием Gorilla Botnet.
Gorilla Botnet
В период с 4 по 27 сентября он выпустил более 300 000 команд распределенных атак типа «отказ в обслуживании» (DDoS), направленных в основном на США, Китай и другие страны в таких секторах, как правительство, телекоммуникации и игры. Ботнет Gorilla представляет собой модифицированную версию вредоносной программы Mirai, поддерживающую несколько архитектур процессоров и использующую передовые методы шифрования для уклонения от обнаружения.
Ботнет Gorilla совершал атаки круглосуточно, фокусируясь на таких методах DDoS, как флуд по протоколу User Datagram Protocol (UDP), флуд по ACK BYPASS и флуд по VSE. В его конструкцию входят пять командно-контрольных серверов, к которым он подключается случайным образом, ожидая команд атаки. Он использует методы шифрования, связанные с группой KekSec, добавляя уровни скрытности в свои операции.
Механизмы устойчивости включают создание системных служб и скриптов запуска для сохранения контроля над зараженными устройствами. Ботнет также пытается обойти медовые точки, проверяя, существует ли файловая система /proc. Его расширенные возможности и методы противодействия обнаружению указывают на то, что он представляет собой новую угрозу для устройств Интернета вещей (IoT) и облачных хостов.
Indicators of Compromise
MD5
- 03a59780b4c5a3c990d0031c959bf7cc
- 15f6a606ab74b66e1f7e4a01b4a6b2d7
- 276adc6a55f13a229a5ff482e49f3a0b
- 3a3be84df2435623132efd1cd9467b17
- 5b37be51ee3d41c07d02795a853b8577
- 63cbfc2c626da269c67506636bb1ea30
- 7f134c477f307652bb884cafe98b0bf2