Laut Fortinet nutzt das Goldoon-Botnetz die Schwachstelle CVE-2015-2051 aus, um ein „Dropper“-Skript von einem bösartigen Server zu verbreiten. Dieses Skript wurde sorgfältig für die Selbstlöschung entwickelt und kann auf verschiedenen Linux-Systemarchitekturen ausgeführt werden. Sobald dieser „Dropper“ in ein Gerät eingeschleust wird, lädt er eine Datei herunter und startet sie, wodurch einer Reihe böswilliger Aktivitäten Tür und Tor geöffnet werden. Seine Hauptaufgabe besteht darin, die Botnet-Datei mithilfe eines XOR-Schlüssels abzurufen, um bestimmte Zeichenfolgen zu entschlüsseln und den vollständigen URI für die Nutzlast zu erstellen. Nach dem Herunterladen wird die endgültige Nutzlast mithilfe eines hartcodierten Headers extrahiert, während Bereinigungsmechanismen aktiviert werden, um die Spuren im kompromittierten System zu verbergen.
„ Obwohl es sich bei CVE-2015-2051 nicht um eine neue Schwachstelle handelt und die Angriffskomplexität gering ist, hat sie eine kritische Auswirkung auf die Sicherheit, die zur Remote-Codeausführung führen kann. Sobald Angreifer diese Schwachstelle erfolgreich ausnutzen, können sie die gefährdeten Geräte in ihr Botnetz integrieren, um weitere Angriffe zu starten », warnen Forscher des Fortinet-Labors, die den Relaunch von Goldoon entdeckt haben.
Einmal infiltriert, kann Goldoon-Malware verschiedene DDoS-Angriffe starten, darunter TCP-Flooding, ICMP-Flooding sowie gezieltere Angriffe wie Minecraft DDoS. Diese Angriffe können erhebliche Auswirkungen haben und sowohl einzelne Ziele als auch größere Netzwerke stören.
