HinataBot

Một mạng botnet dựa trên Golang mới được phát hiện, có tên là HinataBot, được cho là khai thác các lỗ hổng nổi tiếng để xâm phạm các bộ định tuyến và máy chủ, đồng thời sử dụng chúng cho các cuộc tấn công từ chối dịch vụ (DDoS) phân tán. Tên của mối đe dọa được đặt theo một nhân vật trong bộ anime nổi tiếng Naruto với nhiều cấu trúc tên tệp có định dạng 'Hinata--.' Thông tin chi tiết về mối đe dọa đã được tiết lộ bởi các nhà nghiên cứu an ninh mạng tại Akamai.

Người ta tin rằng thủ phạm đằng sau HinataBot đã hoạt động ít nhất là từ tháng 12 năm 2022. Trước đó, họ đang cố gắng sử dụng một biến thể Mirai phổ biến dựa trên Go trước khi chuyển sang các mối đe dọa phần mềm độc hại tùy chỉnh của riêng họ bắt đầu từ ngày 11 tháng 1 năm 2023. Người ta tin rằng HinataBot vẫn đang được phát triển tích cực.

Tội phạm mạng dựa vào các lỗ hổng đã biết để xâm nhập thiết bị và triển khai HinataBot

Phần mềm độc hại HinataBot đang được phân phối thông qua nhiều phương pháp, bao gồm khai thác các máy chủ Hadoop YARN bị lộ. Các lỗ hổng trong thiết bị SDK Realtek (CVE-2014-8361) và bộ định tuyến Huawei HG532 (CVE-2017-17215, điểm CVSS: 8,8) cũng bị các tác nhân đe dọa lợi dụng như một cách để thiết lập chỗ đứng trên các hệ thống được nhắm mục tiêu.

Các lỗ hổng chưa được vá và thông tin xác thực yếu là mục tiêu dễ dàng của những kẻ tấn công do yêu cầu bảo mật thấp so với các chiến thuật tinh vi hơn như kỹ thuật xã hội. Những điểm vào này cung cấp một con đường tấn công được ghi chép đầy đủ có thể dễ dàng khai thác.

HinataBot có thể có khả năng khởi động các cuộc tấn công DDoS 3,3 Tbps tàn khốc

HinataBot có khả năng thiết lập liên lạc với máy chủ Command-and-Control (C2, C&C) như một cách để nhận hướng dẫn từ các tác nhân đe dọa. Phần mềm độc hại có thể được hướng dẫn để khởi chạy các cuộc tấn công DDoS nhằm vào các địa chỉ IP được nhắm mục tiêu trong một khoảng thời gian đã chọn.

Các phiên bản trước của HinataBot đã sử dụng một số giao thức khác nhau, chẳng hạn như HTTP, UDP, TCP và ICMP, cho các cuộc tấn công DDoS; tuy nhiên, lần lặp lại mối đe dọa mới nhất này chỉ giữ lại hai - giao thức HTTP và UDP. Hiện vẫn chưa rõ lý do loại bỏ các giao thức khác.

Các nhà nghiên cứu cảnh báo rằng HinataBot có thể được sử dụng để khởi động các cuộc tấn công DDoS quy mô lớn. Ví dụ: có 10.000 bot tham gia vào một cuộc tấn công đồng thời, một đợt tràn UDP có thể tạo ra lưu lượng truy cập cao nhất lên tới 3,3 Tbps (Terabit mỗi giây), trong khi một đợt HTTP sẽ tạo ra lưu lượng khoảng 27 Gbps.