Новости Новый ботнет HinataBot использует уязвимости сетевого оборудования для совершения DDoS-атак

[NewsMaker]

Написанный на языке Go, вредонос обладает высокой производительностью для мощных вредоносных кампаний.​

---

---

В Для просмотра ссылки Войди или Зарегистрируйся компании Для просмотра ссылки Войди или Зарегистрируйся специалистами был раскрыт новый Для просмотра ссылки Войди или Зарегистрируйся на основе Для просмотра ссылки Войди или Зарегистрируйся , получивший название HinataBot. Ботнет использует известные уязвимости для компрометации маршрутизаторов и серверов для организации массовых DDoS-атак.

Среди методов, используемых для распространения вредоносного ПО, — эксплуатация открытых серверов Hadoop YARN, а также уязвимостей в Realtek SDK (CVE-2014-8361) и маршрутизаторах Huawei HG532 (CVE-2017-17215).

Старые неисправленные уязвимости и слабая защита учётных данных стали лёгкой добычей для злоумышленников. Ведь они обнаружили задокументированную точку входа, которая не требует сложных тактик социальной инженерии и т.п.

Утверждается, что злоумышленники, стоящие за HinataBot, были активны по крайней мере с декабря 2022 года. Но сначала они использовали в своих атаках вредоносное ПО Mirai, а уже затем, начиная с 11 января 2023 года, переключились на вредонос собственной разработки.

С момента первого обнаружения HinataBot экспертами Akamai также было найдено ещё несколько вариаций вредоноса, но уже посвежее. В них специалисты обнаружили более модульную функциональность и дополнительные меры безопасности. Всё это указывает на то, что HinataBot всё ещё находится в активной стадии разработки.

HinataBot, как и другие подобные DDoS-ботнеты, способна связываться с C2-сервером для получения инструкций и инициации атак на целевые Для просмотра ссылки Войди или Зарегистрируйся в течение заданного времени.

В то время как ранние версии ботнета использовали такие протоколы, как HTTP, UDP, TCP и ICMP для проведения DDoS-атак, последняя итерация ограничена только HTTP и UDP. Почему конкретно два других протокола перестали задействоваться — неизвестно. Может авторы вредоноса просто экспериментируют.

Исследователи Akamai провели ряд тестов HinataBot и, по их расчётам, в реальной атаке с участием 10 000 ботов максимальная скорость UDP-флуда превысит 3,3 терабит в секунду (Тбит/с), что приведет к мощной объёмной атаке. HTTP-флуд будет генерировать трафик примерно 27 гигабит в секунду (Гбит/с).

«Злоумышленники использовали язык Go, чтобы воспользоваться преимуществами его высокой производительности, простоты многопоточности, поддержки нескольких архитектур и кросс-компиляции операционной системы, но также, вероятно, потому что Go усложняет компиляцию и затрудняет реверс-инжиниринг», — заявили специалисты Akamai.