Simps Botnet

Ein neues Botnetz namens Simps, das sich auf DDOS-Angriffe (Distributed Denial of Service) konzentriert, wurde von Infosec-Forschern entdeckt. Die Angriffskette, die die Simps-Nutzdaten letztendlich an das gefährdete IoT-Gerät (Internet of Things) liefert, beginnt mit einem beschädigten Shell-Skript. Das Skript hat die Aufgabe, Nutzdaten der nächsten Stufe für verschiedene * nix-Architekturen bereitzustellen. Die Nutzdaten werden von derselben Command-and-Control-URL (C2, C & C) abgerufen, mit der das Shell-Skript selbst geliefert wurde. Darüber hinaus kann das Skript die Berechtigungen mit chmod ändern oder ausgewählte Nutzdaten über den Befehl rm löschen. Eine alternative Angriffskette verwendet Gafgyt und nutzt RMC-Schwachstellen (Remote Code Execution) aus.

Das Simps-Botnetz wird der Keksec-Gruppe zugeordnet

Die Kriminellen, die für die Bereitstellung des Simps-Botnetzes verantwortlich sind, haben anscheinend einen eigenen Youtube-Kanal und den Discord-Server erstellt. Der Youtube-Kanal scheint verwendet zu werden, um die Fähigkeiten des Botnetzes zu demonstrieren und es zu fördern. Es enthielt auch einen Link zum Discord-Server, auf dem Infosec-Forscher mehrere Diskussionen über verschiedene DDOS-Aktivitäten und verschiedene Botnets fanden. Dies führte zur Entdeckung mehrerer Links, die das Simps-Botnetz mit der Hacksec-Gruppe Keksec oder Kek Security verbanden. Keksec war zuvor für den Betrieb von HybridMQ-keksec bekannt, einem DDOS-Trojaner, der den Quellcode von Mirai und Gagyt als Grundlage verwendete.