Keksec Cybergang debütiert Simps Botnet für Gaming DDoS

Cyber Security News

Die neu entdeckte Malware infiziert IoT-Geräte im Zusammenspiel mit dem weit verbreiteten Gafgyt-Botnetz und nutzt dabei bekannte Sicherheitslücken.

Ein kürzlich entwickeltes Botnet namens “Simps” ist aus dem Cyber-Untergrund aufgetaucht, um Distributed-Denial-of-Service (DDoS)-Attacken auf Gaming-Ziele und andere durchzuführen, wobei Internet-of-Things (IoT)-Knoten verwendet werden. Es ist Teil des Toolsets, das von der Cybercrime-Gruppe Keksec verwendet wird, so die Forscher.

Laut dem Bedrohungsforschungsteam von Uptycs wurde Simps zum ersten Mal im April gesehen, als es vom Gafgyt-Botnet auf IoT-Geräte losgelassen wurde. Gafgyt (auch bekannt als Bashlite) ist ein Linux-basiertes Botnet, das erstmals 2014 aufgedeckt wurde. Es zielt auf anfällige IoT-Geräte wie Huawei-Router, Realtek-Router und ASUS-Geräte ab, die es dann nutzt, um groß angelegte DDoS-Angriffe zu starten und Nutzdaten der nächsten Stufe auf infizierte Rechner herunterzuladen. Kürzlich wurden neue Exploits für die anfängliche Kompromittierung von Huawei-, Realtek- und Dasan-GPON-Geräten hinzugefügt.

In der aktuellen Kampagne infiziert Gafgyt Realtek- und Linksys-Endpunkte und setzt ein Shell-Skript ein, um Simps herunterzuladen. Simps selbst nutzt dann Mirai- und Gafgyt-Module für die DDoS-Funktionalität, so die Analyse, die am Mittwoch veröffentlicht wurde.

YouTube, Discord Simps-Diskussionen

Das von Gafgyt eingesetzte Shell-Skript setzt verschiedene Simps-Payloads der nächsten Stufe für verschiedene Linux-basierte Architekturen ein, so die Forscher, und verwendet das Dienstprogramm Wget. Wget ist ein legitimes Softwarepaket zum Abrufen von Dateien von Webservern über HTTP, HTTPS, FTP und FTPSa.

Sobald die Simps-Binärdatei ausgeführt wird, legt sie eine Protokolldatei ab, die die Tatsache aufzeichnet, dass das Zielgerät infiziert ist, und stellt eine Verbindung zum Command-and-Control-Server (C2) her.

Die Infektionsprotokolle weisen Gemeinsamkeiten auf, die es den Forschern ermöglichten, im gesamten Web nach Verweisen darauf zu suchen. Dies führte zu der Entdeckung, dass der Simps-Autor einen YouTube-Kanal unterhält, auf dem er die Funktionsweise des Botnets demonstriert, sowie einen Discord-Server, auf dem Diskussionen über die Malware stattfinden.

“Das Botnet könnte sich in einem frühen Stadium der Entwicklung befinden, da die Logdatei nach der Ausführung vorhanden ist”, so die Forscher. Sie weisen darauf hin, dass das Hinterlassen eines leicht auffindbaren Artefakts wie diesem nicht die beste Vorgehensweise für diejenigen ist, die versuchen, unter dem Radar zu bleiben.

Auf jeden Fall identifizierten sie ein YouTube-Video, das von einem Benutzer namens “itz UR0A” mit dem Titel “Simps Botnet😈, Slamming!!!” – das vom 24. April datiert.

Der YouTube-Link enthielt auch einen Discord-Server-Link für “UR0A”, der auch im Infektionsprotokoll vorhanden war, wie die Analyse ergab.

“Der Discord-Server enthielt mehrere Diskussionen über DDoS-Aktivitäten und Botnetze, die verschiedene Namen trugen”, so die Forscher. “Eine Binärdatei, die wir in einer Chat-Konversation mit dem Namen gay.x86 identifiziert haben, zeigte die Meldung an, dass ‘das System von md5hashguy gepfändet wird’.”

Zuschreibung an Keksec

Dank bestimmter Discord-Server-Nachrichten konnte Uptycs die Aktivität der Keksec-Gruppe (auch bekannt als Kek Security) zuordnen. Diese Gruppe ist dafür bekannt, Schwachstellen auszunutzen, um mit polymorphen Tools in verschiedene Architekturen einzudringen (dazu können Linux- und Windows-Payloads sowie benutzerdefinierte Python-Malware gehören).

Im Januar wurde die Malware “FreakOut Linux Botnet” entdeckt, die Port-Scans, das Sammeln von Informationen, das Erschnüffeln von Datenpaketen und Netzwerken sowie DDoS und Cryptomining ermöglicht.

“Die Gruppe baut aktiv IRC-Botnets für DDoS-Operationen und Kryptojacking-Kampagnen mit Doge und Monero auf”, heißt es in einer aktuellen Lacework-Analyse der Gruppe.

Als Beweis für die Simps-Attribution entdeckte Uptycs, dass eine der Discord-Nachrichten ein Gafgyt-Malware-Sample enthielt, das eine “Infected By Simps Botnet ;)”-Nachricht enthielt.

“Diese Malware ließ eine Datei mit dem Namen ‘keksec.infected.you.log’ fallen, die die Nachricht ‘you’ve been infected by urmommy, thanks for joining keksec’ enthielt.”

Außerdem ist Gafgyt laut früheren Analysen eines der beliebtesten Tools von Keksec, und die Gruppe ist dafür bekannt, ihren Code mit anderen Binärdateien zu vermischen, um Franken-Malware zu erstellen. So betreibt Keksec beispielsweise auch HybridMQ-keksec, ein Botnet, das durch die Kombination und Modifizierung des Quellcodes von Mirai und Gafgyt entstanden ist, wie Uptycs feststellte.

Im Fall von Simps enthalten die Binärdateien vor allem Module zum Starten von DDoS-Attacken gegen Spieleplattformen wie die Valve Source Engine und OVH. Diese wurden auch in einer von Keksec verwendeten Variante von Gafgyt gesehen, die auf Huawei- und Asus-Router abzielte und die rivalisierenden IoT-Botnets ausschaltete.

Wie Unternehmen sich gegen Botnets schützen können

Uptycs empfahl einige Maßnahmen für Anwender und Administratoren in Unternehmen, um Botnet-Angriffe zu erkennen und sich dagegen zu schützen: Überwachen Sie regelmäßig die verdächtigen Prozesse, Ereignisse und den Netzwerkverkehr, die bei der Ausführung von nicht vertrauenswürdigen Binärdateien/Skripten erzeugt werden. Seien Sie immer vorsichtig beim Ausführen von Shell-Skripten aus unbekannten oder nicht vertrauenswürdigen Quellen. Halten Sie Systeme und Firmware mit den neuesten Versionen und Patches auf dem neuesten Stand.

Laden Sie unser exklusives KOSTENLOSES Threatpost Insider eBook “2021: The Evolution of Ransomware” (Die Entwicklung von Ransomware), um Ihre Cyber-Abwehrstrategien gegen diese wachsende Geißel zu verbessern. Wir gehen über den Status quo hinaus und decken auf, was als Nächstes auf Ransomware und die damit verbundenen neuen Risiken zukommt. Lesen Sie die ganze Geschichte und DOWNLOADen Sie das eBook jetzt – bei uns!

Einige Teile dieses Artikels stammen aus:
threatpost.com