Новый ботнет HinataBot использует уязвимости сетевого оборудования для совершения DDoS-атак

[Artifact]

Написанный на языке Go, вредонос обладает высокой производительностью для мощных вредоносных кампаний.

В свежем отчёте компании Akamai специалистами был раскрыт новый ботнет на основе Golang, получивший название HinataBot. Ботнет использует известные уязвимости для компрометации маршрутизаторов и серверов для организации массовых DDoS-атак.
Среди методов, используемых для распространения вредоносного ПО, — эксплуатация открытых серверов Hadoop YARN, а также уязвимостей в Realtek SDK (CVE-2014-8361) и маршрутизаторах Huawei HG532 (CVE-2017-17215).
Старые неисправленные уязвимости и слабая защита учётных данных стали лёгкой добычей для злоумышленников. Ведь они обнаружили задокументированную точку входа, которая не требует сложных тактик социальной инженерии и т.п.
Утверждается, что злоумышленники, стоящие за HinataBot, были активны по крайней мере с декабря 2022 года. Но сначала они использовали в своих атаках вредоносное ПО Mirai, а уже затем, начиная с 11 января 2023 года, переключились на вредонос собственной разработки.
С момента первого обнаружения HinataBot экспертами Akamai также было найдено ещё несколько вариаций вредоноса, но уже посвежее. В них специалисты обнаружили более модульную функциональность и дополнительные меры безопасности. Всё это указывает на то, что HinataBot всё ещё находится в активной стадии разработки.
HinataBot, как и другие подобные DDoS-ботнеты, способна связываться с C2-сервером для получения инструкций и инициации атак на целевые IP-адреса в течение заданного времени.
В то время как ранние версии ботнета использовали такие протоколы, как HTTP, UDP, TCP и ICMP для проведения DDoS-атак, последняя итерация ограничена только HTTP и UDP. Почему конкретно два других протокола перестали задействоваться — неизвестно. Может авторы вредоноса просто экспериментируют.
Исследователи Akamai провели ряд тестов HinataBot и, по их расчётам, в реальной атаке с участием 10 000 ботов максимальная скорость UDP-флуда превысит 3,3 терабит в секунду (Тбит/с), что приведет к мощной объёмной атаке. HTTP-флуд будет генерировать трафик примерно 27 гигабит в секунду (Гбит/с).
«Злоумышленники использовали язык Go, чтобы воспользоваться преимуществами его высокой производительности, простоты многопоточности, поддержки нескольких архитектур и кросс-компиляции операционной системы, но также, вероятно, потому что Go усложняет компиляцию и затрудняет реверс-инжиниринг», — заявили специалисты Akamai.