Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı
Siber güvenlik araştırmacıları, ilhamını sızdırılan Mirai botnet kaynak kodundan alan Gorilla (diğer adıyla GorillaBot) adlı yeni bir botnet kötü amaçlı yazılım ailesi keşfettiler.
Geçen ay etkinliği tespit eden siber güvenlik firması NSFOCUS, botnet'in 4 Eylül ile 27 Eylül 2024 arasında "şok edici bir saldırı yoğunluğuna sahip 300.000'den fazla saldırı komutu yayınladığını" söyledi. Botnet'ten her gün ortalama olarak dağıtılmış hizmet reddi (DDoS) saldırıları düzenlemek için tasarlanmış en az 20.000 komut verilmiştir.
Botnet'in 100'den fazla ülkeyi hedef aldığı, üniversitelere, hükümet web sitelerine, telekomlara, bankalara, oyun ve kumar sektörlerine saldırdığı söyleniyor. Çin, ABD, Kanada ve Almanya en çok saldırıya uğrayan ülkeler olarak ortaya çıktı.
Pekin merkezli şirket, Gorilla'nın DDoS saldırılarını gerçekleştirmek için öncelikle UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood ve ACK flood kullandığını ve UDP protokolünün bağlantısız doğasının büyük miktarda trafik oluşturmak için keyfi kaynak IP sahtekarlığına izin verdiğini de sözlerine ekledi.
Botnet, ARM, MIPS, x86_64 ve x86 gibi birden çok CPU mimarisini desteklemenin yanı sıra, DDoS komutlarını beklemek için önceden tanımlanmış beş komut ve kontrol (C2) sunucusundan birine bağlanma yetenekleriyle birlikte gelir.
İlginç bir şekilde, kötü amaçlı yazılım, uzaktan kod yürütmeyi sağlamak için Apache Hadoop YARN RPC'deki bir güvenlik açığından yararlanmak için işlevler de yerleştirir. Alibaba Cloud ve Trend Micro'ya göre, eksikliğin 2021 yılına kadar vahşi doğada kötüye kullanıldığını belirtmekte fayda var.
Ana bilgisayar üzerinde kalıcılık, "/etc/systemd/system/" dizininde custom.service adında bir hizmet dosyası oluşturularak ve sistem başlangıcında her seferinde otomatik olarak çalışacak şekilde yapılandırılarak sağlanır.
Hizmet, kendi adına, uzak bir sunucudan lol.sh("pen.gorillafirewall[.]su"). Benzer komutlar, sistem başlangıcında veya kullanıcı oturumunda kabuk komut dosyasını indirmek ve çalıştırmak için "/etc/inittab", "/etc/profile" ve "/boot/bootcmd" dosyalarına da eklenir.
NSFOCUS, "Çeşitli DDoS saldırı yöntemlerini tanıttı ve Keksec grubu tarafından önemli bilgileri gizlemek için yaygın olarak kullanılan şifreleme algoritmalarını kullanırken, IoT cihazları ve bulut ana bilgisayarları üzerinde uzun vadeli kontrol sağlamak için birden fazla teknik kullandı ve gelişmekte olan bir botnet ailesi olarak yüksek düzeyde karşı algılama farkındalığı gösterdi" dedi.
Son Durum
X'te paylaşılan bir gönderide, çevrimiçi takma ad Fox_threatintel kullanan bir güvenlik araştırmacısı, botnet kötü amaçlı yazılımının tamamen yeni olmadığını ve bir yıldan fazla bir süredir aktif olduğunu söyledi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı