Investigadores en ciberseguridad han identificado una nueva familia de malware de botnet llamada Gorilla (también conocida como GorillaBot), la cual es una variante derivada del código fuente filtrado de la botnet Mirai.
La empresa de ciberseguridad NSFOCUS, que detectó la actividad el mes pasado, informó que la botnet Gorilla “emitió más de 300.000 comandos de ataque, con una densidad de ataque impresionante” entre el 4 y el 27 de septiembre de 2024. En promedio, se han generado no menos de 20.000 comandos diarios destinados a lanzar ataques distribuidos de denegación de servicio (DDoS) desde la botnet.
Esta botnet ha atacado a más de 100 países, incluyendo universidades, sitios web gubernamentales, telecomunicaciones, bancos, plataformas de juegos y apuestas. China, Estados Unidos, Canadá y Alemania han sido los principales objetivos.
La compañía con sede en Beijing afirmó que Gorilla utiliza principalmente inundaciones UDP, ACK BYPASS, Valve Source Engine (VSE), SYN y ACK para llevar a cabo los ataques DDoS. La naturaleza sin conexión del protocolo UDP permite la suplantación arbitraria de direcciones IP de origen para generar grandes volúmenes de tráfico.
Además, Gorilla es compatible con varias arquitecturas de CPU como ARM, MIPS, x86_64 y x86. La botnet puede conectarse a uno de los cinco servidores de comando y control (C2) predefinidos para recibir instrucciones DDoS.
En un giro interesante, el malware también incluye la capacidad de explotar una vulnerabilidad en Apache Hadoop YARN RPC para ejecutar código de manera remota. Esta falla ha sido explotada desde 2021, según informes de Alibaba Cloud y Trend Micro.
La persistencia en los hosts se consigue creando un archivo de servicio llamado “custom.service” en el directorio “/etc/systemd/system/” y configurándolo para que se ejecute automáticamente en cada reinicio del sistema.
El servicio se encarga de descargar y ejecutar un script de shell (“lol.sh”) desde un servidor remoto (“pen.gorillafirewall[.]su”). También se insertan comandos similares en archivos como “/etc/inittab”, “/etc/profile” y “/boot/bootcmd” para descargar y ejecutar el script de shell en cada inicio o inicio de sesión del sistema.
“Gorilla ha implementado varios métodos de ataque DDoS, utilizando algoritmos de cifrado empleados por el grupo Keksec para ocultar información clave, además de usar múltiples técnicas para mantener un control prolongado sobre dispositivos IoT y hosts en la nube, lo que refleja un alto nivel de conciencia en contradetección como una botnet emergente”, indicó NSFOCUS.
Fuentes:thehackernews.com