HinataBot er en ny skadelig programvare skrevet i GoLang

Et nylig oppdaget botnett ved navn HinataBot, bygget på Golang-plattformen, utnytter kjente sårbarheter i rutere og servere for å starte DDoS-angrep (Distributed Denial-of-Service).

Skaperen av skadelig programvare ser ut til å ha oppkalt den etter en karakter fra Naruto-anime-serien. Botnettet distribueres gjennom ulike metoder, inkludert utnyttelse av sikkerhetsfeil i Huawei HG532-rutere og Realtek SDK-enheter, og utsatte Hadoop YARN-servere. Angripere utnytter uoppdaterte sårbarheter og svak legitimasjon, som er velkjente og dokumenterte inngangspunkter som ikke krever komplisert sosial ingeniørtaktikk.

Angriperne bak HinataBot har vært aktive siden minst desember 2022, og de byttet fra en generisk Mirai-variant til deres egendefinerte skadevare i januar 2023. Nylige artefakter oppdaget i Akamais HTTP- og SSH-honningpotter indikerer at HinataBot fortsatt er under aktiv utvikling og utvikling. Skadevaren kan kommunisere med en kommando-og-kontroll-server (C2) for å motta instruksjoner og starte angrep mot en spesifisert IP-adresse for en bestemt varighet.

Mens tidlige versjoner av HinataBot kunne bruke forskjellige protokoller for DDoS-angrep, bruker den nyeste versjonen bare HTTP og UDP, og årsaken til denne endringen er ennå ikke klar.

Hvordan ligner botnett på HinataBot for å kjøre DDoS-angrep?

Botnett som HinataBot brukes ofte til å starte DDoS-angrep. I et DDoS-angrep brukes et stort antall enheter, ofte kompromitterte datamaskiner eller Internet of Things (IoT)-enheter, for å oversvømme et mål med en overveldende mengde trafikk. Denne flommen av trafikk får det målrettede systemet til å bremse ned, slutte å reagere eller til og med krasje.

Et botnett er et nettverk av enheter som har blitt kompromittert og er under kontroll av en hacker eller en gruppe hackere. Når en enhet er kompromittert, kan den fjernstyres av botnettets operatører, uten eierens viten. Disse kompromitterte enhetene brukes deretter til å starte DDoS-angrep, hvor botnettets operatører dirigerer enhetene til å sende trafikk til en mål-IP-adresse eller -domene.

HinataBot, som andre botnett, kan brukes til å starte en rekke DDoS-angrep, inkludert volumetriske angrep som oversvømmer målet med trafikk, applikasjonslagsangrep som retter seg mot spesifikke sårbarheter i applikasjonslaget, og protokollangrep som utnytter sårbarheter i nettverksprotokoller. Muligheten til å starte denne typen angrep gjør botnett til et kraftig verktøy for nettkriminelle som ønsker å forstyrre eller ta ned nettjenester.

For å unngå å bli en del av et botnett, er det viktig å holde enhetene oppdatert med de nyeste sikkerhetsoppdateringene, bruke sterke passord og tofaktorautentisering, og være forsiktig når du laster ned programvare eller klikker på lenker fra ukjente kilder. Det er også viktig å ha en DDoS-beskyttelsesplan på plass for å dempe virkningen av et angrep.