Simps Botnet

Badacze infosec wykryli nowy botnet o nazwie Simps, który koncentruje się na przeprowadzaniu ataków DDOS (Distributed Denial of Service). Łańcuch ataków, który dostarcza ładunek Simpsa do zhakowanego urządzenia IoT (Internetu rzeczy), ostatecznie zaczyna się od uszkodzonego skryptu powłoki. Zadaniem skryptu jest dostarczanie ładunków następnego etapu dla kilku różnych architektur * nix. Ładunki są pobierane z tego samego adresu URL Command-and-Control (C2, C&C), który został użyty do usunięcia samego skryptu powłoki. Ponadto skrypt może zmieniać uprawnienia za pomocą chmod lub usuwać wybrane ładunki za pomocą polecenia rm. Alternatywny łańcuch ataków wykorzystuje Gafgyt i wykorzystuje luki w zabezpieczeniach RMC (Remote Code Execution).

Botnet Simps jest przypisywany grupie Keksec

Przestępcy odpowiedzialni za wdrożenie botnetu Simps stworzyli własny kanał YouTube i najwyraźniej serwer Discord. Wydaje się, że kanał YouTube służy do demonstrowania możliwości botnetu i jego promocji. Zawierał również odsyłacz do serwera Discord, na którym badacze infosec znaleźli kilka dyskusji na temat różnych działań DDoS i różnych botnetów. Doprowadziło to do odkrycia kilku linków, które łączyły botnet Simps z grupą hakerów Keksec lub Kek Security. Keksec był wcześniej znany z obsługi HybridMQ-keksec, trojana DDOS, który jako podstawę wykorzystywał kod źródłowy Mirai i Gagyt.