Các nhà nghiên cứu an ninh mạng đã phát hiện ra một họ phần mềm độc hại botnet mới có tên là Gorilla (hay còn gọi là GorillaBot), một biến thể của mã nguồn botnet Mirai bị rò rỉ.
Công ty an ninh mạng NSFOCUS, đơn vị đã phát hiện hoạt động này vào tháng trước, cho biết botnet "đã tiến hành hơn 300.000 lệnh tấn công, với mật độ tấn công đáng kinh ngạc" từ ngày 4 tháng 9 đến ngày 27 tháng 9 năm 2024. Trung bình, mỗi ngày botnet thực hiện không dưới 20.000 lệnh để gây ra các cuộc tấn công từ chối dịch vụ phân tán (DDoS).
Mạng botnet này được cho là đã nhắm mục tiêu đến hơn 100 quốc gia, tấn công các trường đại học, trang web của chính phủ, viễn thông, ngân hàng, trò chơi và các lĩnh vực cờ bạc. Trung Quốc, Mỹ, Canada và Đức là những quốc gia bị tấn công nhiều nhất.
NSFOCUS cho biết Gorilla chủ yếu sử dụng UDP flood, ACK BYPASS flood, Valve Source Engine (VSE), SYN flood và ACK flood để thực hiện các cuộc tấn công DdoS. Thêm vào đó, bản chất không kết nối của giao thức UDP cho phép giả mạo địa chỉ IP nguồn tùy ý để tạo ra một lượng lớn lưu lượng truy cập.
Bên cạnh việc hỗ trợ nhiều kiến trúc CPU như ARM, MIPS, x86_64 và x86, botnet còn có khả năng kết nối với một trong năm máy chủ điều khiển tấn công (C2) được xác định trước để chờ lệnh DDoS.
Trong một diễn biến liên quan, phần mềm độc hại này cũng tích hợp các chức năng để khai thác lỗ hổng bảo mật trong Apache Hadoop YARN RPC nhằm đạt được thực thi mã từ xa. Lỗ hổng này đã bị lạm dụng trong thực tế từ năm 2021, theo Alibaba Cloud và Trend Micro.
Quyền truy cập lâu dài trên máy chủ được đạt được bằng cách tạo một tệp dịch vụ có tên custom.service trong thư mục "/etc/systemd/system/" và cấu hình để nó chạy tự động mỗi khi hệ thống khởi động.
Dịch vụ này chịu trách nhiệm tải xuống và thực thi tập lệnh shell ("lol.sh") từ máy chủ từ xa ("pen.gorillafirewall[.]su"). Các lệnh tương tự cũng được thêm vào các tệp "/etc/inittab," "/etc/profile," và "/boot/bootcmd" để tải xuống và chạy tập lệnh shell khi hệ thống khởi động hoặc người dùng đăng nhập.
NSFOCUS cho biết : "Mã độc này sử dụng nhiều phương pháp tấn công DDoS khác nhau và sử dụng các thuật toán mã hóa thường được nhóm Keksec sử dụng để ẩn thông tin quan trọng, đồng thời sử dụng nhiều kỹ thuật để duy trì quyền kiểm soát lâu dài đối với các thiết bị IoT và máy chủ cloud".
Nguồn: thehackernews.com.
Tín nhiệm mạng | Apple đã phát hành bản cập nhật mới cho iOS và iPadOS để giải quyết hai vấn đề bảo mật, một trong số đó có thể cho phép công nghệ hỗ trợ VoiceOver đọc to mật khẩu của người dùng.
Tín nhiệm mạng | Các trang web cửa hàng trực tuyến sử dụng Adobe Commerce và Magento đang là mục tiêu của các cuộc tấn công "CosmicSting" với tốc độ đáng báo động, trong đó kẻ tấn công đã tấn công khoảng 5% tổng số cửa hàng.
Tín nhiệm mạng | Các nhà nghiên cứu an ninh mạng đang cảnh báo về các hoạt động khai thác đang nhắm vào lỗ hổng bảo mật mới được tiết lộ trong Zimbra Collaboration của Synacor.
Tín nhiệm mạng | Một lỗ hổng nghiêm trọng trong NVIDIA Container Toolkit ảnh hưởng đến tất cả các ứng dụng AI trong môi trường đám mây để truy cập tài nguyên GPU.
Tín nhiệm mạng | Một loạt lỗ hổng bảo mật mới có thể cho phép thực thi lệnh (command) từ xa trong một số điều kiện nhất định đã được phát hiện trong hệ thống OpenPrinting Common Unix Printing System (CUPS).
Tín nhiệm mạng | Một lỗ hổng bảo mật đã được sửa trong ứng dụng ChatGPT của OpenAI trên macOS có thể đã cho phép kẻ tấn công cài đặt phần mềm gián điệp lâu dài vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
