Simps Botnet

Un nouveau botnet nommé Simps axé sur la réalisation d'attaques DDOS (Distributed Denial of Service) a été détecté par les chercheurs d'Infosec. La chaîne d'attaque qui fournit la charge utile Simps au périphérique IoT (Internet des objets) compromis commence par un script shell corrompu. Le script est chargé de fournir des charges utiles de la prochaine étape pour plusieurs architectures * nix différentes. Les charges utiles sont extraites de la même URL de commande et de contrôle (C2, C&C) qui a été utilisée pour supprimer le script shell lui-même. En outre, le script peut modifier les autorisations à l'aide de chmod ou supprimer les charges utiles sélectionnées via la commande rm. Une chaîne d'attaque alternative utilise Gafgyt et exploite les vulnérabilités RMC (Remote Code Execution).

Le botnet Simps est attribué au groupe Keksec

Les criminels responsables du déploiement du botnet Simps ont apparemment créé leur propre chaîne Youtube et le serveur Discord. La chaîne Youtube semble être utilisée pour démontrer les capacités du botnet et le promouvoir. Il contenait également un lien vers le serveur Discord, où les chercheurs d'Infosec ont trouvé plusieurs discussions sur diverses activités DDOS et différents botnets. Cela a conduit à la découverte de plusieurs liens reliant le botnet Simps au groupe de hackers Keksec, ou Kek Security. Keksec était connu pour exploiter HybridMQ-keksec auparavant, un cheval de Troie DDOS qui utilisait le code source de Mirai et Gagyt comme base.