HinataBot は GoLang で書かれた新しいマルウェアです

最近発見された、Golang プラットフォーム上に構築された HinataBot という名前のボットネットは、ルーターとサーバーの既知の脆弱性を利用して、分散型サービス拒否 (DDoS) 攻撃を開始します。

マルウェアの作成者は、ナルトのアニメ シリーズのキャラクターにちなんで名付けたようです。このボットネットは、Huawei HG532 ルーターや Realtek SDK デバイスのセキュリティ上の欠陥を悪用したり、Hadoop YARN サーバーを公開したりするなど、さまざまな方法で配布されています。攻撃者は、パッチが適用されていない脆弱性と脆弱な資格情報を利用しています。これらは、複雑なソーシャル エンジニアリング戦術を必要としない、よく知られて文書化されたエントリ ポイントです。

HinataBot の背後にいる攻撃者は、少なくとも 2022 年 12 月から活動しており、2023 年 1 月には一般的な Mirai の亜種から独自のマルウェアに切り替えました。Akamai の HTTP および SSH ハニーポットで検出された最近のアーティファクトは、HinataBot がまだ活発に開発され、進化していることを示しています。このマルウェアは、コマンド アンド コントロール (C2) サーバーと通信して指示を受け取り、特定の IP アドレスに対して特定の期間攻撃を仕掛けることができます。

HinataBot の初期のバージョンでは DDoS 攻撃にさまざまなプロトコルを使用できましたが、最新バージョンでは HTTP と UDP のみを使用しており、この変更の理由はまだ明らかではありません。

ボットネットは、DDoS 攻撃の実行に使用される HinataBot とどのように似ていますか?

HinataBot のようなボットネットは、DDoS 攻撃を開始するために頻繁に使用されます。 DDoS 攻撃では、多数のデバイス (多くの場合、侵害されたコンピューターまたはモノのインターネット (IoT) デバイス) を使用して、圧倒的な量のトラフィックでターゲットをあふれさせます。このトラフィックのフラッドにより、標的のシステムの速度が低下したり、応答しなくなったり、クラッシュしたりすることさえあります。

ボットネットとは、侵害され、ハッカーまたはハッカー グループの制御下にあるデバイスのネットワークです。デバイスが侵害されると、所有者の知らないうちに、ボットネットのオペレーターによってリモートで制御される可能性があります。これらの侵害されたデバイスは、DDoS 攻撃を開始するために使用され、ボットネットのオペレーターはデバイスにトラフィックをターゲット IP アドレスまたはドメインに送信するように指示します。

HinataBot は、他のボットネットと同様に、さまざまな DDoS 攻撃を開始するために使用できます。これには、ターゲットをトラフィックであふれさせるボリューム攻撃、アプリケーション層の特定の脆弱性を標的とするアプリケーション層攻撃、およびネットワーク プロトコルの脆弱性を悪用するプロトコル攻撃が含まれます。この種の攻撃を開始できるボットネットは、オンライン サービスの妨害や停止を狙うサイバー犯罪者にとって強力なツールとなります。

ボットネットに加担するのを防ぐには、デバイスを最新のセキュリティ パッチで最新の状態に保ち、強力なパスワードと 2 要素認証を使用し、ソフトウェアをダウンロードしたり、不明なソースからのリンクをクリックしたりするときに注意することが重要です。また、攻撃の影響を軽減するために DDoS 保護計画を策定することも不可欠です。