Secondo Fortinet, la botnet Goldoon sfrutta la falla CVE-2015-2051 per propagare uno script “dropper” da un server dannoso. Questo script è attentamente progettato per l’autoeliminazione e può essere eseguito su varie architetture di sistema Linux. Una volta inserito in un dispositivo, questo “dropper” scarica e avvia un file, aprendo la porta a una serie di attività dannose. Il suo ruolo principale è recuperare il file botnet utilizzando una chiave XOR per decrittografare stringhe specifiche e costruire l’URI completo per il payload. Una volta scaricato, il payload finale viene estratto utilizzando un’intestazione codificata, mentre vengono attivati meccanismi di sanificazione per nascondere le tracce nel sistema compromesso.
“ Sebbene CVE-2015-2051 non sia una nuova vulnerabilità e abbia una bassa complessità di attacco, ha un impatto critico sulla sicurezza che può portare all’esecuzione di codice in modalità remota. Una volta che gli aggressori sfruttano con successo questa vulnerabilità, possono integrare i dispositivi compromessi nella loro botnet per lanciare ulteriori attacchi », avvertono i ricercatori del laboratorio Fortinet che hanno scoperto il rilancio di Goldoon.
Una volta infiltrato, il malware Goldoon può lanciare vari attacchi DDoS, tra cui TCP Flooding, ICMP Flooding, nonché attacchi più mirati come Minecraft DDoS. Questi attacchi possono avere un impatto significativo, distruggendo sia obiettivi individuali che reti più grandi.
