HinataBot

Er is gezien dat een nieuw ontdekt op Golang gebaseerd botnet, genaamd HinataBot, bekende kwetsbaarheden misbruikt om routers en servers te doorbreken en deze te gebruiken voor gedistribueerde denial-of-service (DDoS)-aanvallen. De naam van de dreiging is gebaseerd op een personage uit de populaire anime-serie Naruto met veel bestandsnaamstructuren met het formaat 'Hinata--.' Details over de dreiging zijn vrijgegeven door de cybersecurity-onderzoekers van Akamai.

Aangenomen wordt dat de daders achter HinataBot in ieder geval sinds december 2022 actief zijn. Destijds probeerden ze een gemeenschappelijke Go-gebaseerde Mirai-variant te gebruiken voordat ze op 11 januari 2023 overstapten op hun eigen op maat gemaakte malwarebedreigingen. Er wordt aangenomen dat HinataBot nog steeds actief wordt ontwikkeld.

Cybercriminelen vertrouwen op bekende kwetsbaarheden om apparaten te doorbreken en HinataBot in te zetten

De HinataBot-malware wordt op verschillende manieren verspreid, waaronder het misbruiken van blootgestelde Hadoop YARN-servers. Kwetsbaarheden in Realtek SDK-apparaten (CVE-2014-8361) en Huawei HG532-routers (CVE-2017-17215, CVSS-score: 8,8) worden ook misbruikt door de bedreigingsactoren om voet aan de grond te krijgen op de beoogde systemen.

Niet-gepatchte kwetsbaarheden en zwakke inloggegevens zijn een gemakkelijk doelwit geweest voor aanvallers vanwege hun lage beveiligingsvereisten in vergelijking met meer geavanceerde tactieken zoals social engineering. Deze toegangspunten bieden een goed gedocumenteerde aanvalsroute die gemakkelijk kan worden misbruikt.

HinataBot kan verwoestende DDoS-aanvallen van 3,3 Tbps lanceren

De HinataBot kan contact maken met een Command-and-Control (C2, C&C)-server om instructies te ontvangen van de bedreigingsactoren. De malware kan worden geïnstrueerd om gedurende een bepaalde periode DDoS-aanvallen uit te voeren op gerichte IP-adressen.

Eerdere versies van HinataBot gebruikten verschillende protocollen, zoals HTTP, UDP, TCP en ICMP, voor de DDoS-aanvallen; deze laatste versie van de dreiging heeft er echter slechts twee behouden: de HTTP- en UDP-protocollen. De reden voor het laten vallen van de andere protocollen blijft op dit moment onbekend.

De onderzoekers waarschuwen dat HinataBot kan worden gebruikt om massale DDoS-aanvallen uit te voeren. Als bijvoorbeeld 10.000 bots tegelijkertijd aan een aanval deelnemen, kan een UDP-overstroming piekverkeer tot 3,3 Tbps (Terabit per seconde) genereren, terwijl een HTTP-overstroming ongeveer 27 Gbps aan verkeersvolume zou genereren.