L'équipe d'intervention en matière de renseignement de sécurité d'Akamai (SIRT) a récemment signalé la découverte d'un nouveau botnet basé sur Go, nommé “HinataBot” par des chercheurs. Ce botnet se concentre sur Déni de service distribué (DDoS) attaque et semble avoir été nommé d'après un personnage de la populaire série animée, Naruto, par l'auteur du malware.
CVE-2014-8361, CVE-2017-17215 utilisé dans les attaques DDoS
Les tentatives d'infection observées impliquaient l'exploitation du service SOAP miniigd sur les appareils Realtek SDK (CVE-2014-8361), profitant d'une vulnérabilité dans les routeurs Huawei HG532 (CVE-2017-17215), et ciblant les serveurs Hadoop YARN exposés (CVE non disponible).
Il est à noter que la vulnérabilité de Huawei, en particulier, a été utilisé pour créer un botnet par un auteur de logiciels malveillants connu sous le nom d'Anarchy dans 2018 que compromis plus de 18,000 routeurs en une seule journée. Selon les chercheurs en sécurité, Anarchy est peut-être le même hacker qui utilisait auparavant le surnom de Wicked et qui est à l'origine de certaines des variantes de Mirai (Méchant, Omni, et Owari).
Un regard sur HinataBot
HinataBot, qui est essentiellement un malware basé sur Go, a été découvert dans les pots de miel HTTP et SSH. Le malware est remarquable en raison de sa grande taille et du manque d'identification spécifique autour de ses nouveaux hachages. Les structures de noms de fichiers des fichiers binaires malveillants ont été nommées d'après un personnage de la série animée populaire, Naruto, comme “Hinata-
En raison de ses hautes performances, facilité de multi-threading, et sa capacité à être cross-compilé pour plusieurs architectures et systèmes d'exploitation, la prévalence des menaces basées sur Go telles que HinataBot, GoBruteForcer, et kmsdbot augmente. Les attaquants peuvent choisir Go pour sa complexité lors de la compilation, ce qui rend plus difficile la rétro-ingénierie des fichiers binaires finaux.
HinataBot a été conçu pour communiquer via plusieurs méthodes, telles que l'établissement et l'acceptation de connexions entrantes. Autrefois, il a été observé qu'il menait des attaques par inondation DDoS en utilisant des protocoles comme HTTP, UDP, TCP, et ICMP. Cependant, la dernière version de HinataBot a limité ses méthodes d'attaque à HTTP et UDP uniquement.
L'émergence de HinataBot témoigne de l'évolution constante du paysage des menaces, notamment en ce qui concerne les botnets. Les cybercriminels proposent constamment de nouvelles façons de déployer du code malveillant, comme le codage dans différentes langues et l'exploitation de différents réseaux de distribution. En empruntant aux tactiques établies, comme ceux employés par l'infâme Mirai, les attaquants peuvent se concentrer sur la création de logiciels malveillants difficiles à détecter et capables d'évoluer dans le temps tout en intégrant de nouvelles fonctionnalités, l'équipe d'Akamai a conclu.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: