ゴリラボットネット

サイバーセキュリティ研究者は、公開されたMirai ボットネットのソースコードに基づいた、Gorilla (または GorillaBot) と呼ばれる新しいボットネット マルウェア ファミリを特定しました。

この活動を監視している専門家によると、Gorilla ボットネットは、2024 年 9 月の攻撃率が驚異的で、非常に短期間に 30 万件を超える攻撃コマンドを実行しました。平均すると、ボットネットは毎日約 2 万件のコマンドを実行し、特に分散型サービス拒否 (DDoS) 攻撃を容易にすることを目的としていました。

100か国以上がDDoS攻撃の標的に

このボットネットは100か国以上を標的とし、大学、政府のウェブサイト、通信会社、銀行、ゲームやギャンブル業界に攻撃を仕掛けていると報告されている。最も被害が大きい国には中国、米国、カナダ、ドイツなどがある。

専門家によると、Gorilla は主に、UDP フラッド、ACK BYPASS フラッド、Valve Source Engine (VSE) フラッド、SYN フラッド、ACK フラッドなどの手法を使用して DDoS 攻撃を実行します。UDP プロトコルのコネクションレス型の性質により、任意のソース IP スプーフィングが可能になり、大量のトラフィックが発生します。

このボットネットは、ARM、MIPS、x86_64、x86 などの複数の CPU アーキテクチャをサポートしているほか、事前定義された 5 つのコマンド アンド コントロール (C2) サーバーのいずれかに接続して DDoS コマンドを受信する機能も備えています。

脆弱性と持続メカニズムの悪用

注目すべき進展として、このマルウェアには、Apache Hadoop YARN RPC のセキュリティ脆弱性を悪用する機能が組み込まれており、リモートコード実行が可能になります。この特定の欠陥は、少なくとも 2021 年から実際に悪用されています。

ホスト上での永続性を確保するために、マルウェアは /etc/systemd/system/ ディレクトリに custom.service というサービス ファイルを作成します。このファイルは、システム起動時に自動的に実行されるように構成されています。このサービスは、リモート サーバー (pen.gorillafirewall.su) から lol.sh というシェル スクリプトをダウンロードして実行します。さらに、同様のコマンドが /etc/inittab、/etc/profile、および /boot/bootcmd ファイルに挿入され、システム起動時またはユーザー ログイン時にシェル スクリプトをダウンロードして実行できるようにします。

このマルウェアは、さまざまな DDoS 攻撃手法を導入し、Keksec グループが重要な情報を隠蔽するために一般的に使用する暗号化アルゴリズムを採用しています。また、IoT デバイスとクラウド ホストに対する長期的な制御を維持するために複数の手法を使用しており、新興のボットネット ファミリーに典型的な検出対策に対する高度な認識を反映しています。

一部のセキュリティ研究者は、Gorilla Botnet マルウェアは 1 年以上前から活動しており、まったく新しいものではないと示唆しています。