A equipe de resposta de inteligência de segurança da Akamai (SIRT) relatou recentemente a descoberta de um botnet baseado em Go recém-desenvolvido, nomeado “HinataBot” por pesquisadores. Esta botnet é focada em Negação de serviço distribuída (DDoS) ataques e parece ter sido nomeado após um personagem da popular série de anime, naruto, pelo autor do malware.
CVE-2014-8361, CVE-2017-17215 usado em ataques DDoS
As tentativas de infecção observadas envolveram a exploração do serviço miniigd SOAP em dispositivos Realtek SDK (CVE-2014-8361), aproveitando uma vulnerabilidade nos roteadores Huawei HG532 (CVE-2017-17215), e visando servidores Hadoop YARN expostos (CVE não disponível).
Vale ressaltar que a vulnerabilidade da Huawei, em particular, foi usado para construir um botnet por um autor de malware conhecido como Anarchy em 2018 este comprometido mais do que 18,000 roteadores em um único dia. De acordo com pesquisadores de segurança, Anarchy pode ser o mesmo hacker que já usou o apelido Wicked e que está por trás de algumas das variações de Mirai (Malvado, Omni, e Owari).
Uma olhada no HinataBot
HinataBot, que é essencialmente um malware baseado em Go, foi descoberto em honeypots HTTP e SSH. O malware é notável devido ao seu grande tamanho e à falta de identificação específica em torno de seus hashes mais recentes. As estruturas de nome de arquivo dos binários de malware receberam o nome de um personagem da popular série de anime, naruto, tal como “hinata-
Devido ao seu alto desempenho, facilidade de multi-threading, e sua capacidade de ser compilado para várias arquiteturas e sistemas operacionais, a prevalência de ameaças baseadas em Go, como HinataBot, GoBruteForcer, e o kmsdbot está aumentando. Os invasores podem escolher Go por sua complexidade quando compilado, tornando mais desafiador fazer engenharia reversa dos binários finais.
HinataBot foi projetado para se comunicar através de vários métodos, como iniciar e aceitar conexões de entrada. No passado, foi observado conduzir ataques de inundação DDoS usando protocolos como HTTP, UDP, TCP, e ICMP. Contudo, a versão mais recente do HinataBot limitou seus métodos de ataque apenas a HTTP e UDP.
O surgimento do HinataBot é uma prova do cenário de ameaças em constante mudança, particularmente no que diz respeito a botnets. Os cibercriminosos estão consistentemente criando novas maneiras de implantar códigos maliciosos, como codificação em diferentes idiomas e alavancagem de diferentes redes de distribuição. Ao tomar emprestado de táticas estabelecidas, como aqueles empregados pelo infame Mirai, os invasores podem se concentrar na criação de malware difícil de detectar e capaz de evoluir ao longo do tempo, incorporando novos recursos, a equipe da Akamai concluiu.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: