Het Akamai Security Intelligence Response Team (SIRT) meldde onlangs de ontdekking van een nieuw ontwikkeld Go-gebaseerd botnet, vernoemd “HinataBot” door onderzoekers. Dit botnet is gericht op Distributed Denial of Service (DDoS) aanvallen en lijkt te zijn vernoemd naar een personage uit de populaire anime-serie, Naruto, door de auteur van de malware.
CVE-2014-8361, CVE-2017-17215 Gebruikt bij DDoS-aanvallen
Waargenomen infectiepogingen betroffen het misbruiken van de miniigd SOAP-service op Realtek SDK-apparaten (CVE-2014-8361), profiteren van een kwetsbaarheid in Huawei HG532-routers (CVE-2017-17.215), en gericht op blootgestelde Hadoop YARN-servers (CVE niet beschikbaar).
Opvallend is de kwetsbaarheid van Huawei, in het bijzonder, werd gebruikt om een botnet te bouwen door een malware-auteur die bekend staat als Anarchy in 2018 dat meer gecompromitteerd dan 18,000 routers in een enkele dag. Volgens security onderzoekers, Anarchy is mogelijk dezelfde hacker die eerder de Wicked-bijnaam gebruikte en die achter enkele variaties van Mirai zit (Slecht, Omni, en Owari).
Een kijkje in HinataBot
HinataBot, wat in wezen een op Go gebaseerde malware is, werd ontdekt in HTTP- en SSH-honeypots. De malware is opmerkelijk vanwege zijn grote omvang en het ontbreken van specifieke identificatie rond zijn nieuwere hashes. De bestandsnaamstructuren van de malware-binaries zijn vernoemd naar een personage uit de populaire anime-serie, Naruto, zoals “Hinata-
Vanwege zijn hoge prestaties, gemak van multi-threading, en de mogelijkheid om cross-gecompileerd te worden voor meerdere architecturen en besturingssystemen, de prevalentie van op Go gebaseerde bedreigingen zoals HinataBot, GoBruteForcer, en kmsdbot neemt toe. Aanvallers kunnen Go kiezen vanwege de complexiteit bij het compileren, waardoor het uitdagender wordt om de uiteindelijke binaire bestanden te reverse-engineeren.
HinataBot is ontworpen om via meerdere methoden te communiceren, zoals het initiëren en accepteren van inkomende verbindingen. In het verleden, Er is waargenomen dat het DDoS-overstromingsaanvallen uitvoert met behulp van protocollen zoals HTTP, UDP, TCP, en ICMP. Echter, de nieuwste versie van HinataBot heeft zijn aanvalsmethoden beperkt tot alleen HTTP en UDP.
De opkomst van HinataBot is een bewijs van het steeds veranderende dreigingslandschap, vooral met betrekking tot botnets. Cybercriminelen bedenken steeds nieuwe manieren om kwaadaardige code in te zetten, zoals coderen in verschillende talen en gebruikmaken van verschillende distributienetwerken. Door te lenen van gevestigde tactieken, zoals die van de beruchten Mirai, aanvallers kunnen zich concentreren op het maken van malware die moeilijk te detecteren is en in de loop van de tijd kan evolueren terwijl ze nieuwe functies inbouwen, concludeerde het Akamai-team.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: