Simps Botnet

Um novo botnet chamado Simps focado na realização de ataques de DDOS (Negação de Serviço Distribuída) foi detectado pelos pesquisadores de Infosec. A cadeia de ataque que entrega a carga útil dos Simps no dispositivo IoT (Internet das Coisas) comprometido, em última análise, começa com um script de shell corrompido. O script tem a tarefa de entregar cargas úteis de próximo estágio para várias arquiteturas *nix diferentes. As cargas úteis são buscadas no mesmo URL do servidor de Comando-e-Controle (C2, C&C) que foi usado para descartar o próprio script de shell. Além disso, o script pode alterar as permissões usando chmod ou excluir cargas úteis selecionadas por meio do comando rm. Uma cadeia de ataque alternativa usa o Gafgyt e explora vulnerabilidades RMC (Execução de um Código Remoto).

O Simps Botnet é atribuído ao Grupo Keksec

Os criminosos responsáveis por implantar o botnet Simps criaram seu próprio canal no Youtube e, aparentemente, o servidor do Discord. O canal do Youtube parece ser usado para demonstrar as capacidades do botnet e promovê-lo. Ele também continha um link para o servidor do Discord, onde os pesquisadores de infosec encontraram várias discussões sobre várias atividades de DDOS e diferentes botnets. Isso levou à descoberta de vários links que conectavam o botnet Simps ao grupo de hackers Keksec, ou Kek Security. O Keksec é conhecido por operar o HybridMQ-keksec anteriormente, um Trojan de DDOS que usava o código-fonte do Mirai e do Gagyt como base.