HinataBot

Un botnet basé sur Golang récemment découvert, surnommé HinataBot, a été vu pour exploiter des vulnérabilités bien connues afin de violer les routeurs et les serveurs et de les utiliser pour des attaques par déni de service distribué (DDoS). Le nom de la menace est basé sur un personnage de la populaire série animée Naruto avec de nombreuses structures de noms de fichiers au format "Hinata--". Des détails sur la menace ont été publiés par les chercheurs en cybersécurité d'Akamai.

On pense que les auteurs de HinataBot sont actifs depuis décembre 2022, au moins. À l'époque, ils essayaient d'utiliser une variante Mirai commune basée sur Go avant de passer à leurs propres menaces de logiciels malveillants sur mesure à partir du 11 janvier 2023. On pense que HinataBot est toujours en cours de développement actif.

Les cybercriminels s'appuient sur des vulnérabilités connues pour violer des appareils et déployer HinataBot

Le malware HinataBot est distribué via plusieurs méthodes, notamment en exploitant les serveurs Hadoop YARN exposés. Les vulnérabilités des appareils Realtek SDK (CVE-2014-8361) et des routeurs Huawei HG532 (CVE-2017-17215, score CVSS : 8,8) sont également exploitées par les acteurs de la menace comme un moyen de prendre pied sur les systèmes ciblés.

Les vulnérabilités non corrigées et les informations d'identification faibles ont été une cible facile pour les attaquants en raison de leurs faibles exigences de sécurité par rapport à des tactiques plus sophistiquées telles que l'ingénierie sociale. Ces points d'entrée fournissent une avenue d'attaque bien documentée qui peut être facilement exploitée.

HinataBot peut être capable de lancer des attaques DDoS dévastatrices de 3,3 Tbps

Le HinataBot est capable d'établir un contact avec un serveur de commande et de contrôle (C2, C&C) afin de recevoir des instructions des acteurs de la menace. Le logiciel malveillant peut être chargé de lancer des attaques DDoS contre des adresses IP ciblées pendant une période de temps choisie.

Les versions précédentes de HinataBot utilisaient plusieurs protocoles différents, tels que HTTP, UDP, TCP et ICMP, pour les attaques DDoS ; cependant, cette dernière itération de la menace n'en a retenu que deux - les protocoles HTTP et UDP. La raison de l'abandon des autres protocoles reste inconnue pour le moment.

Les chercheurs avertissent que HinataBot peut être utilisé pour lancer des attaques DDoS massives. Par exemple, si 10 000 bots participent simultanément à une attaque, une inondation UDP pourrait générer un trafic de pointe pouvant atteindre 3,3 Tbps (térabit par seconde), tandis qu'une inondation HTTP produirait environ 27 Gbps de volume de trafic.

Tendance

Le plus regardé

Chargement...