HinataBot

HinataBot adlı yeni keşfedilen Golang tabanlı bir botnet'in, yönlendiricileri ve sunucuları ihlal etmek ve bunları dağıtılmış hizmet reddi (DDoS) saldırıları için kullanmak üzere iyi bilinen güvenlik açıklarından yararlandığı görüldü. Tehdidin adı, 'Hinata--' formatına sahip birçok dosya adı yapısına sahip popüler anime dizisi Naruto'dan bir karaktere dayanmaktadır. Tehditle ilgili ayrıntılar, Akamai'deki siber güvenlik araştırmacıları tarafından yayınlandı.

HinataBot'un arkasındaki faillerin en azından Aralık 2022'den beri aktif olduğuna inanılıyor. O zamanlar, 11 Ocak 2023'ten itibaren kendi özel yapım kötü amaçlı yazılım tehditlerine geçmeden önce ortak bir Go tabanlı Mirai varyantını kullanmaya çalışıyorlardı. HinataBot'un hala aktif geliştirme aşamasında olduğuna inanılıyor.

Siber Suçlular, Cihazları İhlal Etmek ve HinataBot'u Dağıtmak İçin Bilinen Güvenlik Açıklarına Güveniyor

HinataBot kötü amaçlı yazılımı, açığa çıkan Hadoop YARN sunucularından yararlanmak da dahil olmak üzere birçok yöntemle dağıtılıyor. Realtek SDK cihazlarındaki (CVE-2014-8361) ve Huawei HG532 yönlendiricilerindeki (CVE-2017-17215, CVSS skoru: 8.8) güvenlik açıkları da tehdit aktörleri tarafından hedeflenen sistemler üzerinde tutunma yolu olarak kötüye kullanılmaktadır.

Yama uygulanmamış güvenlik açıkları ve zayıf kimlik bilgileri, sosyal mühendislik gibi daha karmaşık taktiklere kıyasla düşük güvenlik gereksinimleri nedeniyle saldırganlar için kolay bir hedef olmuştur. Bu giriş noktaları, kolayca istismar edilebilecek, iyi belgelenmiş bir saldırı yolu sağlar.

HinataBot Yıkıcı 3.3 Tb/sn DDoS Saldırıları Başlatabilir

HinataBot, tehdit aktörlerinden talimat almanın bir yolu olarak bir Komuta ve Kontrol (C2, C&C) sunucusuyla bağlantı kurma yeteneğine sahiptir. Kötü amaçlı yazılıma, seçilen bir süre boyunca hedeflenen IP adreslerine karşı DDoS saldırıları başlatması talimatı verilebilir.

HinataBot'un önceki sürümleri, DDoS saldırıları için HTTP, UDP, TCP ve ICMP gibi birkaç farklı protokol kullanıyordu; ancak, tehdidin bu son yinelemesi yalnızca ikisini korudu - HTTP ve UDP protokolleri. Diğer protokolleri bırakmanın nedeni şu anda bilinmiyor.

Araştırmacılar, HinataBot'un büyük DDoS saldırıları başlatmak için kullanılabileceği konusunda uyarıyorlar. Örneğin, bir saldırıya aynı anda katılan 10.000 bot varsa, bir UDP flood'u 3,3 Tbps'ye (saniyede Terabit) kadar pik trafik oluşturabilirken, bir HTTP flood'u trafik hacminde yaklaşık 27 Gbps üretebilir.