HinataBot är en ny skadlig programvara skriven i GoLang

Ett nyligen upptäckt botnät vid namn HinataBot, byggt på Golang-plattformen, utnyttjar kända sårbarheter i routrar och servrar för att starta DDoS-attacker (distributed denial-of-service).

Skaparen av skadlig programvara verkar ha döpt den efter en karaktär från Naruto-animeserien. Botnätet distribueras genom olika metoder, inklusive utnyttjande av säkerhetsbrister i Huawei HG532-routrar och Realtek SDK-enheter, och exponerade Hadoop YARN-servrar. Angripare drar fördel av oparpade sårbarheter och svaga referenser, som är välkända och dokumenterade ingångspunkter som inte kräver komplex social ingenjörstaktik.

Angriparna bakom HinataBot har varit aktiva sedan åtminstone december 2022, och de bytte från en generisk Mirai-variant till sin anpassade skadlig programvara i januari 2023. Nya artefakter som upptäckts i Akamais HTTP- och SSH-honungskrukor indikerar att HinataBot fortfarande är under aktiv utveckling och utvecklas. Skadlig programvara kan kommunicera med en kommando-och-kontroll-server (C2) för att ta emot instruktioner och starta attacker mot en angiven IP-adress under en viss tid.

Medan tidiga versioner av HinataBot kunde använda olika protokoll för DDoS-attacker, använder den senaste versionen bara HTTP och UDP, och anledningen till denna förändring är ännu inte klarlagd.

Hur liknar botnät HinataBot för att köra DDoS-attacker?

Botnät som HinataBot används ofta för att starta DDoS-attacker. I en DDoS-attack används ett stort antal enheter, ofta komprometterade datorer eller Internet of Things (IoT)-enheter, för att översvämma ett mål med en överväldigande mängd trafik. Denna översvämning av trafik får det riktade systemet att sakta ner, sluta svara eller till och med krascha.

Ett botnät är ett nätverk av enheter som har äventyrats och som är under kontroll av en hackare eller grupp av hackare. När en enhet väl har äventyrats kan den fjärrstyras av botnätets operatörer, utan ägarens vetskap. Dessa komprometterade enheter används sedan för att starta DDoS-attacker, där botnätets operatörer styr enheterna att skicka trafik till en mål-IP-adress eller domän.

HinataBot, liksom andra botnät, kan användas för att starta en mängd olika DDoS-attacker, inklusive volymetriska attacker som översvämmer målet med trafik, applikationslageratacker som riktar sig mot specifika sårbarheter i applikationslagret och protokollattacker som utnyttjar sårbarheter i nätverksprotokoll. Möjligheten att starta dessa typer av attacker gör botnät till ett kraftfullt verktyg för cyberkriminella som vill störa eller ta ner onlinetjänster.

För att förhindra att du blir en del av ett botnät är det viktigt att hålla enheterna uppdaterade med de senaste säkerhetskorrigeringarna, använda starka lösenord och tvåfaktorsautentisering och vara försiktig när du laddar ner programvara eller klickar på länkar från okända källor. Det är också viktigt att ha en DDoS-skyddsplan på plats för att mildra effekterna av en attack.