Een nieuwe cyberdreiging genaamd GorillaBot heeft universiteiten, banken en overheden over de hele wereld getroffen en veroorzaakte een golf van Distributed Denial of Service (DDoS)-aanvallen.
Een groep onderzoekers van het NSFOCUS-bedrijf voor cybersecurityCybersecurity-oplossingen zijn essentieel in het digitale tijdperk… heeft een gevaarlijke variant van de botnetEen botnet is een netwerk van gecompromitteerde en gecontroleerd… Mirai, genaamd GorillaBot, geïdentificeerd, die meer dan 300.000 DDoS-aanvallen heeft gelanceerd in een periode van drie weken en 100 landen heeft beïnvloed. Tussen 4 en 27 september 2024, heeft de botnet gemiddeld 20.000 aanvalscommando’s per dag uitgegeven, waardoor de systemen van overheidsorganisaties, universiteiten, telecommunicatieproviders, banken en spel- en wedplatforms verzadigd werden.
De aanvallen, die met name China, Verenigde Staten, Canada en Duitsland hard hebben getroffen, hebben zich gericht op het genereren van een enorme hoeveelheid dataverkeer met als doel het overbelasten en verlammen van de diensten van hun slachtoffers. Volgens experts van NSFOCUS maakt de Gorilla-botnet gebruik van verschillende aanvalstechnieken zoals UDPUDP (User Datagram Protocol) is een communicatieprotocol…-overstromingen, ACK BYPASS, Valve Source Engine (VSE), SYN en ACK, waardoor het in staat is grootschalige en zeer destructieve aanvallen uit te voeren.
Technologie achter GorillaBot
De GorillaBot-botnet is niet alleen opmerkelijk vanwege de omvang van zijn aanvallen, maar ook vanwege de verfijning. De Gorilla-structuur ondersteunt meerdere CPU-architecturen zoals ARM, MIPS, x86_64 en x86, waardoor het een breed scala aan apparaten kan infecteren, waaronder IoT-apparaten en cloud-servers. Zodra een apparaat is gecompromitteerd, maakt de botnet verbinding met een van de vijf vooraf gedefinieerde command-and-control (C2) servers, van waaruit het de opdrachten ontvangt om de DDoS-aanvallen te starten.
Bovendien maakt de malware gebruik van een kwetsbaarheid in het UDP-protocol om IP-adressen te vervalsen, waardoor een hoog volume aan kwaadaardig verkeer wordt gegenereerd dat moeilijk te detecteren en te blokkeren is. NSFOCUS heeft erop gewezen dat de aard van het verbindingsloze UDP-protocol cruciaal is in de aanvallen van GorillaBot, omdat het de aanvallers in staat stelt om oorspronkelijke IP-adressen te vervalsen en de netwerken van hun slachtoffers te verzadigen.
Uitvoering van externe code via Apache Hadoop YARN
Een van de meest zorgwekkende aspecten van deze botnet is het vermogen om een kwetsbaarheid in Apache Hadoop YARN RPC uit te buiten, waardoor het in staat is om op afstand code uit te voeren op gecompromitteerde systemen. Deze kwetsbaarheid, die kwaadaardig is gebruikt sinds 2021, stelt aanvallers in staat om controle over Hadoop-servers over te nemen en de reikwijdte van hun aanvallen te vergroten.
Zodra het systeem gecompromitteerd is, creëert GorillaBot een lange termijn persistentie door aangepaste servicebestanden te maken die uitgevoerd worden telkens wanneer het systeem wordt opgestart. De malware voegt ook kwaadaardige commando’s toe aan sleutelsysteembestanden zoals /etc/inittab, /etc/profile en /boot/bootcmd, waardoor het scripts kan downloaden en uitvoeren vanaf externe servers.
Hoge mate van verfijning en weerstand tegen detectie
Onderzoekers hebben benadrukt dat GorillaBot verschillende methoden heeft geïmplementeerd om detectie te omzeilen, waaronder het gebruik van encryptiealgoritmen die veel worden gebruikt door de groep Keksec, waardoor het cruciale informatie kan verbergen en de controle over de geïnfecteerde apparaten voor langere tijd kan behouden.
“GorillaBot is een opkomende botnet met een hoge mate van bewustzijn over contradetectie tactiekenâ€, zei NSFOCUS in hun rapport. “Zijn vermogen om langdurige controle over IoT-apparaten en cloud-hosts te behouden, gecombineerd met een diversiteit aan DDoS-aanvalsmethoden, maakt het een ernstige en complexe dreiging om aan te pakken.”