HinataBot

Et nylig oppdaget Golang-basert botnett, kalt HinataBot, har blitt sett å utnytte kjente sårbarheter for å bryte rutere og servere og bruke dem til distribuert denial-of-service (DDoS) streik. Navnet på trusselen er basert på en karakter fra den populære anime-serien Naruto med mange filnavnstrukturer som har formatet 'Hinata--.' Detaljer om trusselen ble frigitt av cybersikkerhetsforskerne ved Akamai.

Det antas at gjerningsmennene bak HinataBot har vært aktive siden desember 2022, minst. Den gang prøvde de å bruke en vanlig Go-basert Mirai-variant før de byttet til sine egne skreddersydde malware-trusler fra og med 11. januar 2023. Det antas at HinataBot fortsatt er under aktiv utvikling.

Nettkriminelle stoler på kjente sårbarheter for å bryte enheter og distribuerer HinataBot

HinataBot malware distribueres gjennom flere metoder, inkludert utnyttelse av utsatte Hadoop YARN-servere. Sårbarheter i Realtek SDK-enheter (CVE-2014-8361) og Huawei HG532-rutere (CVE-2017-17215, CVSS-score: 8,8) blir også misbrukt av trusselaktørene som en måte å etablere fotfeste på de målrettede systemene.

Uoppdaterte sårbarheter og svak legitimasjon har vært et enkelt mål for angripere på grunn av deres lave sikkerhetskrav sammenlignet med mer sofistikerte taktikker som sosial ingeniørkunst. Disse inngangspunktene gir en godt dokumentert angrepsvei som lett kan utnyttes.

HinataBot kan være i stand til å lansere ødeleggende 3,3 Tbps DDoS-angrep

HinataBot er i stand til å etablere kontakt med en Command-and-Control-server (C2, C&C) som en måte å motta instruksjoner fra trusselaktørene. Skadevaren kan bli instruert til å starte DDoS-angrep mot målrettede IP-adresser i en valgt tidsperiode.

Tidligere versjoner av HinataBot brukte flere forskjellige protokoller, som HTTP, UDP, TCP og ICMP, for DDoS-angrepene; Imidlertid har denne siste iterasjonen av trusselen bare beholdt to - HTTP- og UDP-protokollene. Årsaken til å droppe de andre protokollene er foreløpig ukjent.

Forskerne advarer om at HinataBot kan brukes til å starte massive DDoS-angrep. For eksempel, å ha 10 000 roboter som deltar i et angrep samtidig, kan en UDP-flom generere topptrafikk på opptil 3,3 Tbps (Terabit per sekund), mens en HTTP-flom vil produsere rundt 27 Gbps i trafikkvolum.