HinataBot — новая вредоносная программа, написанная на GoLang

Недавно обнаруженный ботнет под названием HinataBot, построенный на платформе Golang, использует известные уязвимости в маршрутизаторах и серверах для запуска распределенных атак типа «отказ в обслуживании» (DDoS).

Похоже, что создатель вредоносного ПО назвал его в честь персонажа из аниме-сериала «Наруто». Ботнет распространяется различными способами, включая использование уязвимостей в безопасности маршрутизаторов Huawei HG532 и устройств Realtek SDK, а также открытых серверов Hadoop YARN. Злоумышленники пользуются неисправленными уязвимостями и слабыми учетными данными, которые являются хорошо известными и задокументированными точками входа, не требующими сложной тактики социальной инженерии.

Злоумышленники, стоящие за HinataBot, были активны по крайней мере с декабря 2022 года, а в январе 2023 года они перешли с универсального варианта Mirai на собственное вредоносное ПО. Недавние артефакты, обнаруженные в приманках Akamai для HTTP и SSH, указывают на то, что HinataBot все еще находится в стадии активной разработки и развития. Вредоносное ПО может связываться с сервером управления и контроля (C2), чтобы получать инструкции и запускать атаки на указанный IP-адрес в течение определенного времени.

В то время как ранние версии HinataBot могли использовать различные протоколы для DDoS-атак, последняя версия использует только HTTP и UDP, и причина этого изменения пока не ясна.

Как ботнеты, похожие на HinataBot, используются для проведения DDoS-атак?

Ботнеты, такие как HinataBot, часто используются для запуска DDoS-атак. При DDoS-атаке большое количество устройств, часто скомпрометированных компьютеров или устройств Интернета вещей (IoT), используется для переполнения цели огромным объемом трафика. Этот поток трафика приводит к замедлению работы целевой системы, ее зависанию или даже к сбою.

Ботнет — это сеть скомпрометированных устройств, находящихся под контролем хакера или группы хакеров. Как только устройство скомпрометировано, оно может удаленно управляться операторами ботнета без ведома владельца. Затем эти скомпрометированные устройства используются для запуска DDoS-атак, при этом операторы ботнета направляют устройства для отправки трафика на целевой IP-адрес или домен.

HinataBot, как и другие ботнеты, может использоваться для запуска различных DDoS-атак, включая объемные атаки, которые наводняют цель трафиком, атаки на уровне приложений, нацеленные на определенные уязвимости на уровне приложений, и атаки на протоколы, использующие уязвимости в сетевых протоколах. Возможность запуска таких типов атак делает ботнеты мощным инструментом для киберпреступников, стремящихся нарушить работу онлайн-сервисов или отключить их.

Чтобы не стать частью ботнета, важно своевременно обновлять устройства с помощью последних исправлений безопасности, использовать надежные пароли и двухфакторную аутентификацию, а также соблюдать осторожность при загрузке программного обеспечения или переходе по ссылкам из неизвестных источников. Также важно иметь план защиты от DDoS-атак, чтобы смягчить воздействие атаки.