HinataBot Botnet IOCs

botnet IOC

Исследователи Akamai из Security Intelligence Response Team (SIRT) обнаружили новый ботнет, основанный на Go и ориентированный на DDoS. Автор вредоносной программы назвал ее "Hinata" в честь персонажа популярного аниме-сериала "Наруто". Мы называем его "HinataBot".

  • HinataBot распространялся в течение первых трех месяцев 2023 года и активно обновляется авторами/операторами.
  • Образец был обнаружен в HTTP и SSH honeypots, использующих старые уязвимости и слабые учетные данные.
  • Наблюдаемые попытки заражения включают эксплуатацию SOAP-сервиса miniigd на устройствах Realtek SDK (CVE-2014-8361), маршрутизаторах Huawei HG532 (CVE-2017-17215) и открытых серверах Hadoop YARN (CVE N/A).

HinataBot - это вредоносная программа на базе Go, которую исследователи безопасности из Akamai's SIRT недавно обнаружили в HTTP и SSH honeypots. Этот конкретный образец выделялся своим большим размером и отсутствием специфической идентификации вокруг его более новых хэшей. Двоичные файлы вредоносной программы были названы автором в честь персонажа популярного аниме-сериала "Наруто" с такими структурами имен файлов, как "Hinata-<OS>-<Architecture>".

HinataBot является новейшим в постоянно растущем списке новых угроз на базе Go, который включает такие ботнеты, как GoBruteForcer и недавно обнаруженный (SIRT) kmsdbot. Злоумышленники используют Go для получения преимуществ высокой производительности, простоты многопоточности, поддержки различных архитектур и кросс-компиляции операционных систем, но также, вероятно, потому, что он усложняет процесс компиляции, увеличивая сложность обратной разработки полученных двоичных файлов.

HinataBot использует различные методы связи, включая дозвон и прослушивание входящих соединений, и был замечен в распределенных атаках типа "отказ в обслуживании" (DDoS), использующих такие протоколы, как HTTP, UDP, TCP и ICMP для отправки трафика. Однако в последней версии HinataBot сузил свои методы атаки до атак только по протоколам HTTP и UDP.

Indicators of Compromise

IPv4

  • 156.236.16.237
  • 185.112.83.254
  • 77.73.131.247

SHA256

  • 01422e34b2114c68cdb6ce685cd2e5673bbe5652259a0c4b862d5de2824a9375
  • 07326cce5325eabbe1caa2b3f8a4ab78e7913b65703c0afc3bab808441c30688
  • 1b958fd718f1419700c53fed10807e873e8399c354877b0a3dfceac7a8581456
  • 4aba67fdd694219ff0dff07ebd444ed154edacc00c3a61f9b661eabe811a0446
  • 5643bf01e113de246575a9ec39ea12a85f9babb6ac069132ad8d1a7bfa56ed1b
  • 61181b4b7b7040ce4ab9c489a2b857f5a7fe8407c422327fff798f3b55e0cbe3
  • 6ec35ef48ffdf9a92aa8845c336b327c280e1f20d7130ba0856540aed3233bbc
  • 71154ad6bd1a8a79fc674c793bb82b8e7d1371eca0f909c6e4a98ef8e7f5d1da
  • 75c050580725279a6592eecc2b02b6fa78f5469c2f08fb1d0e2fe616beb8bf0d
  • 845134ee7335f07b23e081f024cad5cbfc9ef453d6e2adc7970d6543292e5bcc
  • 8a84dc2a9a06b1fae0dd16765509f88f6f54559c36d4353fd040d02d4563f703
  • 8eda08ce362c09b5f45772467f94d5370068c1798f78c5316f15647ac898c621
  • 92adfbe6aae06d7c99469aeb6551db8eee964b589f2b8774e29d987cfbd0e0d6
  • 9875bb9dd6d159a3b327de80e151ef7f3831c0d6833ae781490d68e426b73680
  • 995681f388f5e0a405c282ae9ce22dc41f2249f0f5208254e1eec6e302d7ad7d
  • a3fac6fea9201c3c3eaae47bd95e0be93e91298e48df75540958834f9e75ac4d
  • C0aa34dd8dbf654d5230d4ef1db61f9befc89a0ea16cb7757edbf8a8090c9146
  • c6a7e25290677cc7b9331343166b140f2c320764a815b241747e6913b1a386d9
  • E3427838132b6161f10e77d0beca1beac90c63a8ccc4aabd523041aec25aab67
  • ff7638c0c893c021c3a059a21a71600249881afd84dc0d751d99db1c8edd3cac
SEC-1275-1
Добавить комментарий