Ny HinataBot udnytter CVE-2014-8361 i DDoS-angreb

Akamai Security Intelligence Response Team (SIRT) rapporterede for nylig opdagelsen af et nyudviklet Go-baseret botnet, navngivet “HinataBot” af forskere. Dette botnet er fokuseret på Distribueret Denial of Service (DDoS) angriber og ser ud til at være opkaldt efter en karakter fra den populære anime-serie, Naruto, af malware-forfatteren.

CVE-2014-8361, CVE-2017-17215 Brugt i DDoS-angreb

Observerede infektionsforsøg involverede udnyttelse af miniigd SOAP-tjenesten på Realtek SDK-enheder (CVE-2014-8361), udnytter en sårbarhed i Huawei HG532-routere (CVE-2017-17.215), og målrettet mod udsatte Hadoop YARN-servere (CVE ikke tilgængelig).

Det er bemærkelsesværdigt, at Huaweis sårbarhed, især, blev brugt til at bygge et botnet af en malware-forfatter kendt som Anarchy in 2018 at kompromitteret mere end 18,000 routere i en enkelt dag. Ifølge sikkerhedseksperter, Anarchy kan være den samme hacker, som tidligere brugte Wicked kaldenavnet, og som står bag nogle af Mirais variationer (Ond, Omni, og Owari).

Et kig på HinataBot

HinataBot, som i bund og grund er en Go-baseret malware, blev afsløret i HTTP og SSH honeypots. Malwaren er bemærkelsesværdig på grund af dens store størrelse og manglen på specifik identifikation omkring dens nyere hash. Filnavnestrukturerne for malware-binære filer blev opkaldt efter en karakter fra den populære anime-serie, Naruto, såsom “Hinata-–“, Akamai sagde.

På grund af dens høje ydeevne, nem multi-threading, og dets evne til at blive krydskompileret til flere arkitekturer og operativsystemer, udbredelsen af Go-baserede trusler såsom HinataBot, GoBruteForcer, og kmsdbot er stigende. Angribere kan vælge Go på grund af dets kompleksitet, når de er kompileret, gør det mere udfordrende at reverse engineering af de endelige binære filer.

HinataBot er designet til at kommunikere via flere metoder, såsom at starte og acceptere indgående forbindelser. I fortiden, det er blevet observeret at udføre DDoS-oversvømmelsesangreb ved hjælp af protokoller som HTTP, UDP, TCP, og ICMP. Men, den seneste version af HinataBot har begrænset sine angrebsmetoder til kun HTTP og UDP.

Fremkomsten af HinataBot er et vidnesbyrd om det stadigt skiftende trussellandskab, især med hensyn til botnets. Cyberkriminelle kommer konsekvent med nye måder at implementere ondsindet kode på, såsom kodning på forskellige sprog og udnyttelse af forskellige distributionsnetværk. Ved at låne fra etablerede taktikker, som dem, der er ansat af de berygtede Mirai, angribere kan fokusere på at skabe malware, der er svær at opdage og i stand til at udvikle sig over tid, mens de inkorporerer nye funktioner, konkluderede Akamai-holdet.