Cảnh báo về Botnet Gorilla tấn công quy mô lớn trên toàn cầu

Gorilla Botnet (hay còn gọi là GorillaBot) là một mạng botnet mới vừa được phát hiện, đã tiến hành hàng loạt cuộc tấn công trên quy mô toàn cầu.

Theo báo cáo của công ty an ninh mạng NSFOCUS, từ ngày 4 đến 27 tháng 9 năm 2024, Gorilla Botnet đã gửi đi hơn 300,000 lệnh tấn công DDoS, với tần suất dày đặc, trung bình 20,000 lệnh mỗi ngày.

Các cuộc tấn công này đã nhắm vào hơn 100 quốc gia, trong đó có các mục tiêu chính như Trung Quốc, Hoa Kỳ, Canada, và Đức. Những đối tượng bị tấn công bao gồm các trường đại học, trang web chính phủ, các công ty viễn thông, ngân hàng, v.v.

Phương thức tấn công

Gorilla Botnet thực hiện tấn công từ chối dịch vụ phân tán (DDoS) bằng nhiều phương pháp khác nhau, gồm:

  • UDP flood
  • ACK BYPASS flood
  • Valve Source Engine (VSE) flood
  • SYN flood
  • ACK flood Botnet này lợi dụng giao thức UDP, vốn không yêu cầu kết nối, để giả mạo địa chỉ IP và tạo ra lượng lớn lưu lượng mạng nhằm làm quá tải các hệ thống mục tiêu.

Phương thức lây lan và khai thác

Gorilla Botnet có thể lây nhiễm sang nhiều loại thiết bị nhờ khả năng hỗ trợ nhiều kiến trúc CPU khác nhau, bao gồm ARM, MIPS, x86_64, và x86. Ngoài ra, nó có thể kết nối với năm máy chủ điều khiển và kiểm soát (C2) đã được định sẵn để chờ lệnh tấn công.

Đặc biệt, Gorilla còn khai thác lỗ hổng bảo mật trong Apache Hadoop YARN RPC để thực hiện tấn công điều khiển từ xa (RCE), một lỗ hổng đã được biết đến và khai thác từ năm 2021.

Cơ chế tồn tại trên hệ thống

Botnet này sử dụng nhiều phương thức để duy trì sự tồn tại trên thiết bị bị nhiễm. Nó tạo ra một tệp dịch vụ có tên custom.service trong thư mục /etc/systemd/system/ và cài đặt để tự động chạy mỗi khi hệ thống khởi động. Tệp dịch vụ này chịu trách nhiệm tải và thực thi một tập lệnh shell có tên lol.sh từ máy chủ của kẻ tấn công.

Các lệnh tương tự cũng được thêm vào các tệp /etc/inittab, /etc/profile, và /boot/bootcmd để đảm bảo botnet tiếp tục tồn tại trên hệ thống và khó bị phát hiện, ngay cả khi hệ thống khởi động lại hoặc người dùng đăng nhập.

Hoạt Động và Kỹ Thuật Né Tránh

Gorilla Botnet sử dụng nhiều kỹ thuật mã hóa để ẩn giấu thông tin và hoạt động. Botnet này áp dụng các phương pháp mã hóa mạnh tương tự như những gì nhóm Keksec sử dụng, nhằm bảo vệ các thông tin quan trọng và ngăn chặn việc phát hiện từ các hệ thống an ninh.

Tác động và dấu hiệu nhận biết

Gorilla Botnet có thể gây ra những ảnh hưởng nghiêm trọng cho hệ thống mạng và dịch vụ trực tuyến. Các dấu hiệu tiềm ẩn của việc nhiễm botnet này bao gồm:

  • Hiệu suất hệ thống suy giảm: CPU và băng thông mạng tăng đột ngột.
  • Lưu lượng mạng bất thường: Có nhiều lưu lượng mạng từ giao thức UDP hoặc TCP với gói tin không hợp lệ.
  • Xuất hiện tệp lạ: Các tệp như custom.service hoặc lol.sh xuất hiện trong các thư mục như /etc/systemd/system/, /etc/inittab, /etc/profile, và /boot/bootcmd.

Khuyến nghị

  • Giám sát hệ thống: Thường xuyên kiểm tra các thư mục hệ thống quan trọng như /etc/systemd/system/ và /boot/ để phát hiện các tệp tin đáng ngờ.
  • Kiểm tra kết nối mạng: Phân tích lưu lượng mạng để xác định các kết nối đến máy chủ điều khiển không rõ nguồn gốc.
  • Cập nhật phần mềm: Luôn đảm bảo hệ điều hành và các ứng dụng, đặc biệt là Hadoop và YARN, được cập nhật bản vá lỗi mới nhất.

Nguồn: VNCERT/CC

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

  • Điện toán đám mây.

  • Mạng phân phối nội dung

  • Giám sát an toàn thông tin mạng.

  • Bảo vệ an toàn thông tin đầu cuối.

  • Sao lưu, phục hồi dữ liệu.

  • Diễn tập phòng chống tấn công mạng.

  • Kiểm tra, đánh giá an toàn thông tin mạng.

  • Đào tạo an toàn thông tin.

  • Dịch vụ khác:

    • Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
    • Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ: