HinataBot is een nieuwe malware geschreven in GoLang
Een onlangs ontdekt botnet genaamd HinataBot, gebouwd op het Golang-platform, maakt gebruik van bekende kwetsbaarheden in routers en servers om gedistribueerde denial-of-service (DDoS)-aanvallen uit te voeren.
De maker van de malware lijkt het vernoemd te hebben naar een personage uit de Naruto anime-serie. Het botnet wordt op verschillende manieren verspreid, waaronder het misbruiken van beveiligingsfouten in Huawei HG532-routers en Realtek SDK-apparaten, en blootgestelde Hadoop YARN-servers. Aanvallers maken misbruik van niet-gepatchte kwetsbaarheden en zwakke inloggegevens, dit zijn bekende en gedocumenteerde toegangspunten waarvoor geen ingewikkelde social engineering-tactieken nodig zijn.
De aanvallers achter HinataBot zijn in ieder geval sinds december 2022 actief en zijn in januari 2023 overgestapt van een generieke Mirai-variant naar hun aangepaste malware. Recente artefacten die zijn gedetecteerd in Akamai's HTTP- en SSH-honeypots geven aan dat HinataBot nog steeds in actieve ontwikkeling en ontwikkeling is. De malware kan communiceren met een command-and-control (C2)-server om instructies te ontvangen en gedurende een bepaalde tijd aanvallen uit te voeren op een opgegeven IP-adres.
Terwijl vroege versies van HinataBot verschillende protocollen konden gebruiken voor DDoS-aanvallen, gebruikt de nieuwste versie alleen HTTP en UDP, en de reden voor deze wijziging is nog niet duidelijk.
Hoe worden botnets vergelijkbaar met HinataBot gebruikt om DDoS-aanvallen uit te voeren?
Botnets zoals HinataBot worden vaak gebruikt om DDoS-aanvallen uit te voeren. Bij een DDoS-aanval wordt een groot aantal apparaten, vaak gecompromitteerde computers of Internet of Things (IoT)-apparaten, gebruikt om een doelwit te overspoelen met een overweldigende hoeveelheid verkeer. Deze verkeersstroom zorgt ervoor dat het beoogde systeem langzamer gaat werken, niet meer reageert of zelfs crasht.
Een botnet is een netwerk van apparaten die zijn gecompromitteerd en die onder controle staan van een hacker of een groep hackers. Zodra een apparaat is gecompromitteerd, kan het op afstand worden bestuurd door de operators van het botnet, zonder medeweten van de eigenaar. Deze gecompromitteerde apparaten worden vervolgens gebruikt om DDoS-aanvallen uit te voeren, waarbij de operators van het botnet de apparaten aansturen om verkeer naar een doel-IP-adres of -domein te sturen.
HinataBot kan, net als andere botnets, worden gebruikt om verschillende DDoS-aanvallen uit te voeren, waaronder volumetrische aanvallen die het doelwit overspoelen met verkeer, aanvallen op de applicatielaag die gericht zijn op specifieke kwetsbaarheden in de applicatielaag en protocolaanvallen die misbruik maken van kwetsbaarheden in netwerkprotocollen. De mogelijkheid om dit soort aanvallen uit te voeren, maakt botnets tot een krachtig hulpmiddel voor cybercriminelen die online services willen verstoren of uitschakelen.
Om te voorkomen dat u onderdeel wordt van een botnet, is het belangrijk om apparaten up-to-date te houden met de nieuwste beveiligingspatches, sterke wachtwoorden en tweefactorauthenticatie te gebruiken en voorzichtig te zijn bij het downloaden van software of het klikken op links van onbekende bronnen. Het is ook essentieel om een DDoS-beschermingsplan te hebben om de impact van een aanval te beperken.
