Ze cyber-undergroundu se nedávno vynořil botnet s názvem „Simps“, který provádí DDoS útoky na herní a další cíle pomocí uzlů internetu věcí (IoT). Je to součást sady nástrojů používané kriminální skupinou Keksec.

Podle výzkumného týmu Uptycs byl Simps poprvé viděn v dubnu, kdy byl doručen na zařízení IoT botnetem Gafgyt. Gafgyt (alias Bashlite) je botnet založený na Linuxu, který byl poprvé odhalen v roce 2014. Zaměřuje se na zranitelná zařízení IoT, jako jsou směrovače Huawei, směrovače Realtek a zařízení ASUS, která pak používá k zahájení rozsáhlých útoků DDoS a stahování dat na infikované stroje. Nedávno přidal nové výhody pro počáteční kompromis, pro GPON zařízení Huawei, Realtek a Dasan.

V aktuální kampani infikuje Gafgyt koncové body Realtek (CVE-2014-8361) a Linksys a poté načte Simps. Samotný Simps pak podle analýzy používá moduly Mirai a Gafgyt pro funkčnost DDoS. Další varianta útoku používá ke stahování Simpsů shell skripty.

Diskuse o Simps na YouTube a Discordu

Vědci poznamenali, že shell skript a Gafgyt mohou nasadit různá užitečná zatížení Simps další fáze pro několik architektur založených na Linuxu, pomocí nástroje Wget. Wget je legitimní softwarový balíček pro načítání souborů z webových serverů pomocí HTTP, HTTPS, FTP a FTPSa.

Jakmile se Simps binární soubor spustí, zruší soubor protokolu, který zaznamenává skutečnost, že je cílové zařízení infikováno, a připojí se k řídícímu serveru.

Protokoly o infekcích sdílejí společné rysy, což vědcům umožnilo hledat odkazy na ně na webu. To vedlo k objevu, že autor Simps udržuje kanál YouTube nabízející ukázky funkčnosti botnetu a server Discord, který hostí diskuse o malwaru.

Identifikovali video na YouTube vytvořené uživatelem „itz UR0A“ s názvem „Simps Botnet😈, Slamming !!!“.

Odkaz na YouTube také obsahoval odkaz na server Discord pro „UR0A“, který byl také přítomen v protokolu infekce, zjistila analýza.

„Server Discord obsahoval několik diskusí o aktivitách DDoS a botnetech nesoucích různá jména,“ poznamenali vědci. “Jeden binární soubor, který jsme identifikovali v chatové konverzaci gay.x86, zobrazil zprávu, že„ systém je odstaven programem md5hashguy.”

Keksec

Díky aktivitám na serveru Discord společnost Uptycs tuto aktivitu připsala skupině Keksec (aka Kek Security), což je skupina známá pro zneužívání slabých míst k napadení více architektur pomocí polymorfních nástrojů. Neustále přidává do svého arzenálu; v lednu bylo vidět nasazení FreakOut Linux malwaru botnetu, který provádí skenování portů, snifuje informace a datové pakety, spolu s DDoS a kryptominingem.

„Skupina aktivně buduje IRC botnety pro účely operací DDoS a kryptojackingových kampaní využívajících Doge i Monero,“ uvádí nedávná analýza skupiny Lacework.

Jako důkaz přiřazení Simpsu Uptycs zjistil, že jedna ze zpráv Discordu obsahovala vzorek malwaru Gafgyt, který obsahoval zprávu „Infected By Simps Botnet;)“.

„Tento malware zanechal soubor s názvem „keksec.infected.you.log “, který obsahoval zprávu „you’ve been infected by urmommy, thanks for joining keksec.“

Podle minulé analýzy je Gafgyt také jedním z nejoblíbenějších nástrojů skupiny Keksec a skupina je známá tím, že maskuje svůj kód pomocí dalších binárních souborů a vytváří tak Franken-malware. Například Keksec provozuje také HybridMQ-keksec, botnet vytvořený kombinací a úpravou zdrojového kódu Mirai a Gafgyt, zdůraznil Uptycs.

V případě Simps binární soubory obsahují zejména moduly pro zahájení DDoS útoků proti herním platformám, jako je Valve Source Engine a OVH. Ty byly také vidět ve variantě Gafgyt používané Keksecem, která byla zaměřena na směrovače Huawei a Asus a vyřadila jeho konkurenční IoT botnety.

Zdroj: threatpost.com

Zdroj: IT SECURITY NETWORK NEWS