Simps Botnet

Een nieuw botnet genaamd Simps, gericht op het uitvoeren van DDOS-aanvallen (Distributed Denial of Service), is ontdekt door infosec-onderzoekers. De aanvalsketen die de Simps-payload uiteindelijk aan het gecompromitteerde IoT-apparaat (Internet of Things) levert, begint met een beschadigd shellscript. Het script is belast met het leveren van payloads in de volgende fase voor verschillende * nix-architecturen. De payloads worden opgehaald van dezelfde Command-and-Control-URL (C2, C&C) die werd gebruikt om het shellscript zelf te verwijderen. Bovendien kan het script machtigingen wijzigen met chmod of geselecteerde payloads verwijderen met de opdracht rm. Een alternatieve aanvalsketen gebruikt Gafgyt en maakt misbruik van RMC-kwetsbaarheden (Remote Code Execution).

The Simps Botnet wordt toegeschreven aan de Keksec Group

De criminelen die verantwoordelijk zijn voor het inzetten van het Simps-botnet hebben blijkbaar hun eigen YouTube-kanaal en de Discord-server gecreëerd. Het YouTube-kanaal lijkt te worden gebruikt om de mogelijkheden van het botnet te demonstreren en te promoten. Het bevatte ook een link naar de Discord-server, waar infosec-onderzoekers verschillende discussies vonden over verschillende DDOS-activiteiten en verschillende botnets. Dit leidde tot de ontdekking van verschillende koppelingen die het Simps-botnet met de hackergroep Keksec of Kek Security verbond. Keksec stond erom bekend HybridMQ-keksec eerder te gebruiken, een DDOS-trojan die de broncode van Mirai en Gagyt als basis gebruikte.