Исследователи Akamai из Security Intelligence Response Team (SIRT) обнаружили новый ботнет, основанный на Go и ориентированный на DDoS. Автор вредоносной программы назвал ее "Hinata" в честь персонажа популярного аниме-сериала "Наруто". Мы называем его "HinataBot".
- HinataBot распространялся в течение первых трех месяцев 2023 года и активно обновляется авторами/операторами.
- Образец был обнаружен в HTTP и SSH honeypots, использующих старые уязвимости и слабые учетные данные.
- Наблюдаемые попытки заражения включают эксплуатацию SOAP-сервиса miniigd на устройствах Realtek SDK (CVE-2014-8361), маршрутизаторах Huawei HG532 (CVE-2017-17215) и открытых серверах Hadoop YARN (CVE N/A).
HinataBot - это вредоносная программа на базе Go, которую исследователи безопасности из Akamai's SIRT недавно обнаружили в HTTP и SSH honeypots. Этот конкретный образец выделялся своим большим размером и отсутствием специфической идентификации вокруг его более новых хэшей. Двоичные файлы вредоносной программы были названы автором в честь персонажа популярного аниме-сериала "Наруто" с такими структурами имен файлов, как "Hinata-<OS>-<Architecture>".
HinataBot является новейшим в постоянно растущем списке новых угроз на базе Go, который включает такие ботнеты, как GoBruteForcer и недавно обнаруженный (SIRT) kmsdbot. Злоумышленники используют Go для получения преимуществ высокой производительности, простоты многопоточности, поддержки различных архитектур и кросс-компиляции операционных систем, но также, вероятно, потому, что он усложняет процесс компиляции, увеличивая сложность обратной разработки полученных двоичных файлов.
HinataBot использует различные методы связи, включая дозвон и прослушивание входящих соединений, и был замечен в распределенных атаках типа "отказ в обслуживании" (DDoS), использующих такие протоколы, как HTTP, UDP, TCP и ICMP для отправки трафика. Однако в последней версии HinataBot сузил свои методы атаки до атак только по протоколам HTTP и UDP.
Indicators of Compromise
IPv4
- 156.236.16.237
- 185.112.83.254
- 77.73.131.247
SHA256
- 01422e34b2114c68cdb6ce685cd2e5673bbe5652259a0c4b862d5de2824a9375
- 07326cce5325eabbe1caa2b3f8a4ab78e7913b65703c0afc3bab808441c30688
- 1b958fd718f1419700c53fed10807e873e8399c354877b0a3dfceac7a8581456
- 4aba67fdd694219ff0dff07ebd444ed154edacc00c3a61f9b661eabe811a0446
- 5643bf01e113de246575a9ec39ea12a85f9babb6ac069132ad8d1a7bfa56ed1b
- 61181b4b7b7040ce4ab9c489a2b857f5a7fe8407c422327fff798f3b55e0cbe3
- 6ec35ef48ffdf9a92aa8845c336b327c280e1f20d7130ba0856540aed3233bbc
- 71154ad6bd1a8a79fc674c793bb82b8e7d1371eca0f909c6e4a98ef8e7f5d1da
- 75c050580725279a6592eecc2b02b6fa78f5469c2f08fb1d0e2fe616beb8bf0d
- 845134ee7335f07b23e081f024cad5cbfc9ef453d6e2adc7970d6543292e5bcc
- 8a84dc2a9a06b1fae0dd16765509f88f6f54559c36d4353fd040d02d4563f703
- 8eda08ce362c09b5f45772467f94d5370068c1798f78c5316f15647ac898c621
- 92adfbe6aae06d7c99469aeb6551db8eee964b589f2b8774e29d987cfbd0e0d6
- 9875bb9dd6d159a3b327de80e151ef7f3831c0d6833ae781490d68e426b73680
- 995681f388f5e0a405c282ae9ce22dc41f2249f0f5208254e1eec6e302d7ad7d
- a3fac6fea9201c3c3eaae47bd95e0be93e91298e48df75540958834f9e75ac4d
- C0aa34dd8dbf654d5230d4ef1db61f9befc89a0ea16cb7757edbf8a8090c9146
- c6a7e25290677cc7b9331343166b140f2c320764a815b241747e6913b1a386d9
- E3427838132b6161f10e77d0beca1beac90c63a8ccc4aabd523041aec25aab67
- ff7638c0c893c021c3a059a21a71600249881afd84dc0d751d99db1c8edd3cac