L'équipe d'intervention en matière de renseignement de sécurité d'Akamai (SIRT) a récemment signalé la découverte d'un nouveau botnet basé sur Go, nommé “HinataBot” par des chercheurs. Ce botnet se concentre sur Déni de service distribué (DDoS) attaque et semble avoir été nommé d'après un personnage de la populaire série animée, Naruto, par l'auteur du malware.
CVE-2014-8361, CVE-2017-17215 utilisé dans les attaques DDoS
Les tentatives d'infection observées impliquaient l'exploitation du service SOAP miniigd sur les appareils Realtek SDK (CVE-2014-8361), profitant d'une vulnérabilité dans les routeurs Huawei HG532 (CVE-2017-17215), et ciblant les serveurs Hadoop YARN exposés (CVE non disponible).
Il est à noter que la vulnérabilité de Huawei, en particulier, a été utilisé pour créer un botnet par un auteur de logiciels malveillants connu sous le nom d'Anarchy dans 2018 que compromis plus de 18,000 routeurs en une seule journée. Selon les chercheurs en sécurité, Anarchy est peut-être le même hacker qui utilisait auparavant le surnom de Wicked et qui est à l'origine de certaines des variantes de Mirai (Méchant, Omni, et Owari).
Un regard sur HinataBot
HinataBot, qui est essentiellement un malware basé sur Go, a été découvert dans les pots de miel HTTP et SSH. Le malware est remarquable en raison de sa grande taille et du manque d'identification spécifique autour de ses nouveaux hachages. Les structures de noms de fichiers des fichiers binaires malveillants ont été nommées d'après un personnage de la série animée populaire, Naruto, comme “Hinata-
En raison de ses hautes performances, facilité de multi-threading, et sa capacité à être cross-compilé pour plusieurs architectures et systèmes d'exploitation, la prévalence des menaces basées sur Go telles que HinataBot, GoBruteForcer, et kmsdbot augmente. Les attaquants peuvent choisir Go pour sa complexité lors de la compilation, ce qui rend plus difficile la rétro-ingénierie des fichiers binaires finaux.
HinataBot a été conçu pour communiquer via plusieurs méthodes, telles que l'établissement et l'acceptation de connexions entrantes. Autrefois, il a été observé qu'il menait des attaques par inondation DDoS en utilisant des protocoles comme HTTP, UDP, TCP, et ICMP. Cependant, la dernière version de HinataBot a limité ses méthodes d'attaque à HTTP et UDP uniquement.
L'émergence de HinataBot témoigne de l'évolution constante du paysage des menaces, notamment en ce qui concerne les botnets. Les cybercriminels proposent constamment de nouvelles façons de déployer du code malveillant, comme le codage dans différentes langues et l'exploitation de différents réseaux de distribution. En empruntant aux tactiques établies, comme ceux employés par l'infâme Mirai, les attaquants peuvent se concentrer sur la création de logiciels malveillants difficiles à détecter et capables d'évoluer dans le temps tout en intégrant de nouvelles fonctionnalités, l'équipe d'Akamai a conclu.