Simps Botnet

Ett nytt botnet med namnet Simps fokuserat på att utföra DDOS-attacker (Distributed Denial of Service) har upptäckts av infosec-forskare. Attackkedjan som levererar Simps-nyttolasten till den komprometterade IoT-enheten (Internet of Things) börjar i slutändan med ett skadat skalskript. Skriptet har till uppgift att leverera nästa steg nyttolast för flera olika * nix-arkitekturer. Nyttolasten hämtas från samma Command-and-Control (C2, C&C) URL som användes för att släppa själva skalskriptet. Dessutom kan skriptet ändra behörigheter med chmod eller ta bort valda nyttolast genom kommandot rm. En alternativ attackkedja använder Gafgyt och utnyttjar RMC (Remote Code Execution) sårbarheter.

Simps Botnet tillskrivs Keksec Group

De brottslingar som är ansvariga för att distribuera Simps botnet har skapat sin egen Youtube-kanal och Discord-servern uppenbarligen. Youtube-kanalen verkar användas för att demonstrera botnets kapacitet och marknadsföra den. Den innehöll också en länk till Discord-servern, där infosec-forskare hittade flera diskussioner om olika DDOS-aktiviteter och olika botnät. Detta ledde till upptäckten av flera länkar som kopplade Simps botnet med Keksec, eller Kek Security, hackargruppen. Keksec har tidigare varit känt för att använda HybridMQ-keksec, en DDOS Trojan som använde källkoden till Mirai och Gagyt som grund.