HinataBot

새로 발견된 Golang 기반 봇넷인 HinataBot은 잘 알려진 취약점을 악용하여 라우터와 서버에 침입하여 분산 서비스 거부(DDoS) 공격에 사용하는 것으로 나타났습니다. 위협의 이름은 'Hinata--' 형식의 파일 이름 구조가 많은 인기 애니메이션 시리즈인 Naruto의 캐릭터를 기반으로 합니다. 위협에 대한 세부 정보는 Akamai의 사이버 보안 연구원이 공개했습니다.

HinataBot 배후의 가해자는 적어도 2022년 12월부터 활동한 것으로 여겨집니다. 당시 그들은 2023년 1월 11일부터 자체 맞춤형 악성코드 위협으로 전환하기 전에 일반적인 Go 기반 Mirai 변종을 활용하려고 했습니다. HinataBot은 여전히 활발하게 개발되고 있는 것으로 보입니다.

사이버 범죄자는 알려진 취약점을 이용하여 장치에 침입하고 HinataBot을 배포합니다.

HinataBot 악성코드는 노출된 Hadoop YARN 서버를 악용하는 등 다양한 방법을 통해 배포되고 있습니다. Realtek SDK 장치(CVE-2014-8361) 및 Huawei HG532 라우터(CVE-2017-17215, CVSS 점수: 8.8)의 취약점도 공격자가 대상 시스템에 발판을 마련하기 위한 방법으로 악용합니다.

패치되지 않은 취약점과 취약한 자격 증명은 사회 공학과 같은 보다 정교한 전술에 비해 낮은 보안 요구 사항으로 인해 공격자의 손쉬운 표적이 되었습니다. 이러한 진입점은 쉽게 악용될 수 있는 잘 문서화된 공격 수단을 제공합니다.

HinataBot은 파괴적인 3.3Tbps DDoS 공격을 실행할 수 있습니다.

HinataBot은 위협 행위자로부터 명령을 받는 방법으로 명령 및 제어(C2, C&C) 서버와 연결을 설정할 수 있습니다. 맬웨어는 선택한 기간 동안 대상 IP 주소에 대해 DDoS 공격을 시작하도록 지시받을 수 있습니다.

이전 버전의 HinataBot은 DDoS 공격에 HTTP, UDP, TCP 및 ICMP와 같은 여러 프로토콜을 사용했습니다. 그러나 이 위협의 최신 반복은 HTTP 및 UDP 프로토콜의 두 가지만 유지했습니다. 다른 프로토콜을 삭제한 이유는 현재로서는 알 수 없습니다.

연구원들은 HinataBot이 대규모 DDoS 공격을 시작하는 데 활용될 수 있다고 경고합니다. 예를 들어 10,000개의 봇이 동시에 공격에 참여하는 경우 UDP 플러드는 최대 3.3Tbps(초당 테라비트)의 최대 트래픽을 생성할 수 있는 반면 HTTP 플러드는 약 27Gbps의 트래픽 볼륨을 생성합니다.