Botnet Simps

Una nuova botnet chiamata Simps focalizzata sull'esecuzione di attacchi DDOS (Distributed Denial of Service) è stata rilevata dai ricercatori di infosec. La catena di attacchi che fornisce il payload Simps al dispositivo IoT (Internet of Things) compromesso, alla fine, inizia con uno script di shell danneggiato. Lo script ha il compito di fornire payload della fase successiva per diverse architetture * nix differenti. I payload vengono recuperati dallo stesso URL Command-and-Control (C2, C&C) utilizzato per rilasciare lo script della shell stesso. Inoltre, lo script può modificare le autorizzazioni utilizzando chmod o eliminare i payload selezionati tramite il comando rm. Una catena di attacchi alternativa utilizza Gafgyt e sfrutta le vulnerabilità RMC (Remote Code Execution).

La botnet Simps è attribuita al gruppo Keksec

I criminali responsabili della distribuzione della botnet Simps hanno creato il proprio canale Youtube e apparentemente il server Discord. Il canale Youtube sembra essere utilizzato per dimostrare le capacità della botnet e promuoverla. Conteneva anche un collegamento al server Discord, dove i ricercatori di infosec hanno trovato diverse discussioni su varie attività DDOS e diverse botnet. Ciò ha portato alla scoperta di diversi collegamenti che collegavano la botnet Simps con il gruppo di hacker Keksec, o Kek Security. Keksec era noto per aver utilizzato HybridMQ-keksec in precedenza, un Trojan DDOS che utilizzava il codice sorgente di Mirai e Gagyt come base.