Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı

Geçen ay etkinliği tespit eden siber güvenlik firması NSFOCUS, botnet'in 4 Eylül ile 27 Eylül 2024 arasında "şok edici bir saldırı yoğunluğuna sahip 300.000'den fazla saldırı komutu yayınladığını" söyledi. Botnet'ten her gün ortalama olarak dağıtılmış hizmet reddi (DDoS) saldırıları düzenlemek için tasarlanmış en az 20.000 komut verilmiştir.

Botnet'in 100'den fazla ülkeyi hedef aldığı, üniversitelere, hükümet web sitelerine, telekomlara, bankalara, oyun ve kumar sektörlerine saldırdığı söyleniyor. Çin, ABD, Kanada ve Almanya en çok saldırıya uğrayan ülkeler olarak ortaya çıktı.

Pekin merkezli şirket, Gorilla'nın DDoS saldırılarını gerçekleştirmek için öncelikle UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) floodSYN flood ve ACK flood kullandığını ve UDP protokolünün bağlantısız doğasının büyük miktarda trafik oluşturmak için keyfi kaynak IP sahtekarlığına izin verdiğini de sözlerine ekledi.

Botnet, ARM, MIPS, x86_64 ve x86 gibi birden çok CPU mimarisini desteklemenin yanı sıra, DDoS komutlarını beklemek için önceden tanımlanmış beş komut ve kontrol (C2) sunucusundan birine bağlanma yetenekleriyle birlikte gelir.

İlginç bir şekilde, kötü amaçlı yazılım, uzaktan kod yürütmeyi sağlamak için Apache Hadoop YARN RPC'deki bir güvenlik açığından yararlanmak için işlevler de yerleştirir. Alibaba Cloud ve Trend Micro'ya göre, eksikliğin 2021 yılına kadar vahşi doğada kötüye kullanıldığını belirtmekte fayda var.

Ana bilgisayar üzerinde kalıcılık, "/etc/systemd/system/" dizininde custom.service adında bir hizmet dosyası oluşturularak ve sistem başlangıcında her seferinde otomatik olarak çalışacak şekilde yapılandırılarak sağlanır.

Hizmet, kendi adına, uzak bir sunucudan lol.sh("pen.gorillafirewall[.]su"). Benzer komutlar, sistem başlangıcında veya kullanıcı oturumunda kabuk komut dosyasını indirmek ve çalıştırmak için "/etc/inittab", "/etc/profile" ve "/boot/bootcmd" dosyalarına da eklenir.

NSFOCUS, "Çeşitli DDoS saldırı yöntemlerini tanıttı ve Keksec grubu tarafından önemli bilgileri gizlemek için yaygın olarak kullanılan şifreleme algoritmalarını kullanırken, IoT cihazları ve bulut ana bilgisayarları üzerinde uzun vadeli kontrol sağlamak için birden fazla teknik kullandı ve gelişmekte olan bir botnet ailesi olarak yüksek düzeyde karşı algılama farkındalığı gösterdi" dedi.

Son Durum

X'te paylaşılan bir gönderide, çevrimiçi takma ad Fox_threatintel kullanan bir güvenlik araştırmacısı, botnet kötü amaçlı yazılımının tamamen yeni olmadığını ve bir yıldan fazla bir süredir aktif olduğunu söyledi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği