Simps Botnet

Los investigadores de infosec han detectado una nueva botnet llamada Simps centrada en llevar a cabo ataques DDOS (Distributed Denial of Service). La cadena de ataque que entrega la carga útil de Simps al dispositivo IoT (Internet de las cosas) comprometido, en última instancia, comienza con un script de shell dañado. El script tiene la tarea de entregar cargas útiles de la siguiente etapa para varias arquitecturas * nix diferentes. Las cargas útiles se obtienen de la misma URL de comando y control (C2, C&C) que se utilizó para eliminar el script de shell. Además, el script puede cambiar los permisos usando chmod o eliminar las cargas útiles seleccionadas a través del comando rm. Una cadena de ataque alternativa utiliza Gafgyt y aprovecha las vulnerabilidades de RMC (ejecución remota de código).

La botnet Simps se atribuye al grupo Keksec

Los delincuentes responsables de implementar la botnet Simps han creado su propio canal de Youtube y aparentemente el servidor de Discord. Parece que el canal de Youtube se utiliza para demostrar las capacidades de la botnet y promoverla. También contenía un enlace al servidor de Discord, donde los investigadores de infosec encontraron varias discusiones sobre varias actividades de DDOS y diferentes botnets. Esto llevó al descubrimiento de varios enlaces que conectaban la botnet Simps con el grupo de piratas informáticos Keksec, o Kek Security. Keksec era conocido por operar HybridMQ-keksec anteriormente, un troyano DDOS que usaba el código fuente de Mirai y Gagyt como base.