Botnet Gorilla

Les chercheurs en cybersécurité ont identifié une nouvelle famille de malwares botnet connue sous le nom de Gorilla (ou GorillaBot), qui est basée sur le code source divulgué du Mirai Botnet .

Selon les experts qui surveillent cette activité, le botnet Gorilla a exécuté plus de 300 000 commandes d'attaque sur une période remarquablement courte, avec un taux d'attaque étonnant en septembre 2024. En moyenne, le botnet a lancé environ 20 000 commandes par jour, visant spécifiquement à faciliter les attaques par déni de service distribué (DDoS).

Plus de 100 pays ciblés par des tentatives DDoS

Le botnet aurait ciblé plus de 100 pays, lançant des attaques contre des universités, des sites Web gouvernementaux, des télécommunications, des banques, ainsi que des industries du jeu et des paris. Les pays les plus touchés sont la Chine, les États-Unis, le Canada et l'Allemagne.

Les experts indiquent que Gorilla utilise principalement des méthodes telles que UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood et ACK flood pour mener ses attaques DDoS. La nature sans connexion du protocole UDP permet l'usurpation arbitraire de l'adresse IP source, ce qui génère un volume de trafic important.

Outre sa prise en charge de plusieurs architectures de processeurs, notamment ARM, MIPS, x86_64 et x86, le botnet est équipé de la capacité de se connecter à l'un des cinq serveurs de commande et de contrôle (C2) prédéfinis pour recevoir des commandes DDoS.

Exploitation des vulnérabilités et mécanisme de persistance

Dans un développement notable, le malware intègre des fonctions pour exploiter une vulnérabilité de sécurité dans Apache Hadoop YARN RPC, lui permettant d'exécuter du code à distance. Cette faille particulière est exploitée dans la nature depuis au moins 2021.

Pour assurer la persistance sur l'hôte, le malware crée un fichier de service nommé custom.service dans le répertoire /etc/systemd/system/, qui est configuré pour s'exécuter automatiquement au démarrage du système. Ce service est chargé de télécharger et d'exécuter un script shell appelé lol.sh à partir d'un serveur distant (pen.gorillafirewall.su). De plus, des commandes similaires sont insérées dans les fichiers /etc/inittab, /etc/profile et /boot/bootcmd pour faciliter le téléchargement et l'exécution du script shell au démarrage du système ou à la connexion de l'utilisateur.

Le malware introduit une variété de méthodes d'attaque DDoS et utilise des algorithmes de chiffrement couramment utilisés par le groupe Keksec pour masquer des informations critiques. Il utilise également plusieurs techniques pour maintenir le contrôle à long terme sur les appareils IoT et les hôtes cloud, reflétant une connaissance approfondie des mesures de contre-détection typiques des nouvelles familles de botnets.

Certains chercheurs en sécurité suggèrent que le malware Gorilla Botnet n’est pas entièrement nouveau, puisqu’il est actif depuis plus d’un an.