Uma nova botnet baseada em Golang, chamada HinataBot, foi observada usando falhas conhecidas para comprometer roteadores e servidores e usá-los para realizar ataques distribuídos de negação de serviço (DDoS).
"Os binários de malware parecem ter sido nomeados pelo autor do malware após um personagem da popular série de anime, Naruto, com estruturas de nome de arquivo como 'Hinata-<SO>-<Architecture>'", disse a Akamai em um relatório técnico.
Entre os métodos usados para distribuir o malware estão a exploração de servidores Hadoop YARN expostos e falhas de segurança em dispositivos Realtek SDK (
CVE-2014-8361
) e roteadores Huawei HG532 (
CVE-2017-17215
, pontuação CVSS: 8.8).
Vulnerabilidades não corrigidas e credenciais fracas têm sido frutos fáceis para atacantes, representando um ponto de entrada fácil e bem documentado que não requer táticas sofisticadas de engenharia social ou outros métodos.
Os atores por trás do HinataBot estão ativos desde pelo menos dezembro de 2022, com os ataques tentando usar uma variante genérica baseada em Go do Mirai antes de mudar para seu próprio malware personalizado a partir de 11 de janeiro de 2023.
Desde então, novos artefatos foram detectados em honeypots HTTP e SSH da Akamai até este mês, empacotando mais funcionalidade modular e medidas de segurança adicionais para resistir à análise.
Isso indica que o HinataBot ainda está em desenvolvimento ativo e evoluindo.
O malware, como outras botnets DDoS de seu tipo, é capaz de entrar em contato com um servidor de comando e controle (C2) para ouvir instruções de entrada e iniciar ataques contra um endereço IP alvo por uma duração especificada.
"O atual C2 está inativo, então ainda não fomos capazes de observar um ataque real", disse Allen West, pesquisador de segurança da Akamai, ao The Hacker News.
"Estamos no processo de conectar rastreadores, porém, e estaremos monitorando por uma mudança de C2 também.
Se eles se tornarem ativos novamente, esperamos poder observar de perto".
Enquanto as primeiras versões da botnet utilizavam protocolos como HTTP, UDP, TCP e ICMP para realizar ataques DDoS, a última iteração está limitada apenas a HTTP e UDP.
Não se sabe imediatamente por que os outros dois protocolos foram eliminados.
A Akamai, que realizou testes de ataque de 10 segundos usando HTTP e UDP, revelou que a inundação HTTP gerou 3,4 MB de dados de captura de pacotes e impulsionou 20.430 solicitações HTTP.
Já a inundação UDP criou 6.733 pacotes para um total de 421 MB de dados de captura de pacotes.
Em um hipotético ataque do mundo real com 10.000 bots, uma inundação UDP atingiria mais de 3,3 terabit por segundo (Tbps), resultando em um ataque volumétrico potente.
Uma inundação HTTP geraria um tráfego de cerca de 27 gigabits por segundo (Gbps).
O desenvolvimento torna-se o mais recente a se juntar à lista cada vez maior de ameaças emergentes baseadas em Go, como GoBruteforcer e KmsdBot.
"Go tem sido explorado por atacantes para colher os benefícios de seu alto desempenho, facilidade de multi-threading, suporte de compilação cruzada para múltiplas arquiteturas e sistemas operacionais, mas também provavelmente porque adiciona complexidade quando compilado, aumentando a dificuldade de engenharia reversa dos binários resultantes", disse a Akamai.
As descobertas também surgem enquanto a Microsoft revelou que os ataques TCP surgiram como a forma mais frequente de ataque DDoS encontrada em 2022, representando 63% de todo o tráfego de ataque, seguidos por inundações UDP e ataques de amplificação (22%), e ataques de anomalia de pacote (15%).
Além de serem usados como distrações para ocultar extorsão e roubo de dados, os ataques DDoS também são esperados para aumentar devido à chegada de novas cepas de malware que são capazes de visar dispositivos IoT e assumir contas para obter acesso não autorizado a recursos.
"Com os ataques DDoS se tornando mais frequentes, sofisticados e baratos de lançar, é importante para organizações de todos os tamanhos serem proativas, permanecerem protegidas o ano todo e desenvolverem uma estratégia de resposta a DDoS", disse a equipe de segurança de rede do Azure da gigante de tecnologia.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...