Nuevo HinataBot explota CVE-2014-8361 en ataques DDoS

El equipo de respuesta de inteligencia de seguridad de Akamai (SIRT) informó recientemente el descubrimiento de una red de bots basada en Go recientemente desarrollada, llamado “hinatabot” por investigadores. Esta botnet se centra en Denegación de servicio distribuido (DDoS) ataca y parece haber sido nombrado después de un personaje de la popular serie de anime, naruto, por el autor del malware.

CVE-2014-8361, CVE-2017-17215 utilizado en ataques DDoS

Los intentos de infección observados involucraron la explotación del servicio SOAP miniigd en dispositivos Realtek SDK (CVE-2014-8361), aprovechando una vulnerabilidad en los routers Huawei HG532 (CVE-2017 a 17215), y apuntando a servidores Hadoop YARN expuestos (CVE no disponible).

Cabe destacar que la vulnerabilidad de Huawei, en particular, fue utilizado para construir una botnet por un autor de malware conocido como Anarchy en 2018 eso comprometido más que 18,000 routers en un solo día. De acuerdo con los investigadores de seguridad, Anarchy puede ser el mismo hacker que anteriormente usó el apodo de Wicked y que está detrás de algunas de las variaciones de Mirai. (Malvado, Omni, y owari).

Una mirada a HinataBot

hinatabot, que esencialmente es un malware basado en Go, fue descubierto dentro de los honeypots HTTP y SSH. El malware es digno de mención debido a su gran tamaño y la falta de identificación específica en torno a sus hashes más nuevos.. Las estructuras de nombres de archivo de los binarios de malware recibieron el nombre de un personaje de la popular serie de anime., naruto, tal como “Hinata-–“, Akamai dijo.

Por su alto rendimiento, facilidad de subprocesos múltiples, y su capacidad de compilación cruzada para múltiples arquitecturas y sistemas operativos, la prevalencia de amenazas basadas en Go como HinataBot, GoBruteForcer, y kmsdbot está aumentando. Los atacantes pueden elegir Go por su complejidad cuando se compila, lo que hace que sea más difícil aplicar ingeniería inversa a los binarios finales.

HinataBot ha sido diseñado para comunicarse a través de múltiples métodos., como iniciar y aceptar conexiones entrantes. En el pasado, se ha observado que realiza ataques de inundación DDoS utilizando protocolos como HTTP, UDP, TCP, y ICMP. Sin embargo, la última versión de HinataBot ha limitado sus métodos de ataque a solo HTTP y UDP.

El surgimiento de HinataBot es un testimonio del panorama de amenazas en constante cambio., particularmente con respecto a las botnets. Los ciberdelincuentes encuentran constantemente nuevas formas de implementar código malicioso, como la codificación en diferentes idiomas y el aprovechamiento de diferentes redes de distribución. Tomando prestado de tácticas establecidas, como los empleados por el infame Mirai, los atacantes pueden concentrarse en crear malware que es difícil de detectar y capaz de evolucionar con el tiempo mientras incorporan nuevas características, el equipo de Akamai concluyó.