Simps Botnet

Et nyt botnet ved navn Simps med fokus på udførelse af DDOS-angreb er blevet opdaget af infosec-forskere. Angrebskæden, der i sidste ende leverer Simps-nyttelasten til den kompromitterede IoT-enhed (Internet of Things), begynder med et beskadiget shell-script. Scriptet har til opgave at levere næste-trins nyttelast til flere forskellige * nix-arkitekturer. Nyttelastene hentes fra den samme Command-and-Control (C2, C&C) URL, der blev brugt til at droppe selve shell-scriptet. Derudover kan scriptet ændre tilladelser ved hjælp af chmod eller slette valgte nyttelast gennem rm-kommandoen. En alternativ angrebskæde bruger Gafgyt og udnytter RMC (Remote Code Execution) sårbarheder.

Simps Botnet tilskrives Keksec Group

De kriminelle, der er ansvarlige for at implementere Simps botnet, har tilsyneladende oprettet deres egen Youtube-kanal og Discord-serveren tilsyneladende. Youtube-kanalen ser ud til at blive brugt til at demonstrere mulighederne i botnet og promovere det. Det indeholdt også et link til Discord-serveren, hvor infosec-forskere fandt flere diskussioner om forskellige DDOS-aktiviteter og forskellige botnets. Dette førte til opdagelsen af flere links, der forbandt Simps botnet med Keksec eller Kek Security, hackergruppen. Keksec har tidligere været kendt for at drive HybridMQ-keksec, en DDOS Trojan, der brugte kildekoden til Mirai og Gagyt som basis.