HinataBot

Було помічено, що нещодавно виявлений ботнет на базі Golang, який отримав назву HinataBot, використовує добре відомі вразливості, щоб зламати маршрутизатори та сервери та використовувати їх для розподілених ударів про відмову в обслуговуванні (DDoS). Назва загрози заснована на персонажі популярного аніме-серіалу «Наруто» з багатьма структурами імен файлів у форматі «Hinata-<ОС>-<Архітектура>». Подробиці про загрозу оприлюднили дослідники кібербезпеки з Akamai.

Вважається, що зловмисники, які стоять за HinataBot, діяли принаймні з грудня 2022 року. Тоді вони намагалися використовувати звичайний варіант Mirai на основі Go, перш ніж перейти до власних спеціально створених загроз зловмисного програмного забезпечення, починаючи з 11 січня 2023 року. Вважається, що HinataBot все ще знаходиться в стадії активної розробки.

Кіберзлочинці покладаються на відомі вразливості, щоб зламати пристрої та розгорнути HinataBot

Зловмисне програмне забезпечення HinataBot поширюється кількома методами, включно з використанням відкритих серверів Hadoop YARN. Уразливості в пристроях Realtek SDK (CVE-2014-8361) і маршрутизаторах Huawei HG532 (CVE-2017-17215, оцінка CVSS: 8,8) також використовуються зловмисниками як спосіб закріпитися на цільових системах.

Невиправлені вразливості та слабкі облікові дані були легкою мішенню для зловмисників через низькі вимоги до безпеки порівняно з більш складними тактиками, такими як соціальна інженерія. Ці точки входу забезпечують добре задокументований шлях атаки, яким можна легко скористатися.

HinataBot може бути здатний запускати руйнівні DDoS-атаки зі швидкістю 3,3 Тбіт/с

HinataBot здатний встановлювати зв’язок із сервером командування та керування (C2, C&C) для отримання інструкцій від загрозливих суб’єктів. Зловмисне програмне забезпечення може отримати вказівку запускати DDoS-атаки на цільові IP-адреси протягом вибраного періоду часу.

Попередні версії HinataBot використовували кілька різних протоколів, таких як HTTP, UDP, TCP і ICMP, для атак DDoS; однак ця остання ітерація загрози зберегла лише два – протоколи HTTP та UDP. Причина відмови від інших протоколів наразі залишається невідомою.

Дослідники попереджають, що HinataBot можна використовувати для запуску масових DDoS-атак. Наприклад, якщо в атаці одночасно беруть участь 10 000 ботів, UDP-флуд може генерувати піковий трафік до 3,3 Тбіт/с (терабіт на секунду), тоді як HTTP-флуд створюватиме обсяг трафіку близько 27 Гбіт/с.

В тренді

Найбільше переглянуті

Завантаження...