HinataBot è un nuovo malware scritto in GoLang
Una botnet scoperta di recente chiamata HinataBot, costruita sulla piattaforma Golang, sta sfruttando le vulnerabilità note nei router e nei server per lanciare attacchi DDoS (Distributed Denial of Service).
Sembra che il creatore del malware abbia preso il nome da un personaggio della serie anime Naruto. La botnet viene distribuita attraverso vari metodi, tra cui lo sfruttamento delle falle di sicurezza nei router Huawei HG532 e nei dispositivi Realtek SDK e l'esposizione dei server Hadoop YARN. Gli aggressori stanno approfittando di vulnerabilità senza patch e credenziali deboli, che sono punti di ingresso ben noti e documentati che non richiedono complesse tattiche di ingegneria sociale.
Gli aggressori dietro HinataBot sono attivi almeno dal dicembre 2022 e sono passati da una variante Mirai generica al loro malware personalizzato nel gennaio 2023. I recenti artefatti rilevati negli honeypot HTTP e SSH di Akamai indicano che HinataBot è ancora in fase di sviluppo attivo e in evoluzione. Il malware può comunicare con un server di comando e controllo (C2) per ricevere istruzioni e lanciare attacchi contro un indirizzo IP specificato per una durata specifica.
Mentre le prime versioni di HinataBot potevano utilizzare vari protocolli per gli attacchi DDoS, l'ultima versione utilizza solo HTTP e UDP e il motivo di questo cambiamento non è ancora chiaro.
In che modo le botnet simili a HinataBot vengono utilizzate per eseguire attacchi DDoS?
Botnet come HinataBot vengono spesso utilizzati per lanciare attacchi DDoS. In un attacco DDoS, un gran numero di dispositivi, spesso computer compromessi o dispositivi Internet of Things (IoT), viene utilizzato per inondare un bersaglio con una quantità enorme di traffico. Questa marea di traffico fa sì che il sistema preso di mira rallenti, non risponda o addirittura si blocchi.
Una botnet è una rete di dispositivi che sono stati compromessi e sono sotto il controllo di un hacker o di un gruppo di hacker. Una volta che un dispositivo è compromesso, può essere controllato a distanza dagli operatori della botnet, all'insaputa del proprietario. Questi dispositivi compromessi vengono quindi utilizzati per lanciare attacchi DDoS, con gli operatori della botnet che indirizzano i dispositivi a inviare traffico a un indirizzo IP o dominio di destinazione.
HinataBot, come altre botnet, può essere utilizzato per lanciare una varietà di attacchi DDoS, inclusi attacchi volumetrici che inondano il bersaglio di traffico, attacchi a livello di applicazione che mirano a vulnerabilità specifiche nel livello di applicazione e attacchi di protocollo che sfruttano le vulnerabilità nei protocolli di rete. La capacità di lanciare questi tipi di attacchi rende le botnet un potente strumento per i criminali informatici che cercano di interrompere o interrompere i servizi online.
Per evitare di entrare a far parte di una botnet, è importante mantenere i dispositivi aggiornati con le ultime patch di sicurezza, utilizzare password complesse e autenticazione a due fattori ed essere cauti quando si scarica software o si fa clic su collegamenti da fonti sconosciute. È inoltre essenziale disporre di un piano di protezione DDoS per mitigare l'impatto di un attacco.
