Se ha observado que una nueva red de bots basada en Golang denominada HinataBot aprovecha fallas conocidas para comprometer enrutadores y servidores y utilizarlos para organizar ataques de denegación de servicio distribuido (DDoS).
«Los binarios de malware parecen haber sido nombrados por el autor del malware en honor a un personaje de la popular serie de anime, Naruto, con estructuras de nombre de archivo como ‘Hinata–‘», dijo Akamai en un informe técnico.
Entre los métodos utilizados para distribuir el malware se encuentran la explotación de servidores Hadoop YARN expuestos y fallas de seguridad en dispositivos Realtek SDK ( CVE-2014-8361 ), enrutadores Huawei HG532 ( CVE-2017-17215 , puntaje CVSS: 8.8).
Las vulnerabilidades sin parches y las credenciales débiles han sido una fruta al alcance de la mano para los atacantes, lo que representa un punto de entrada fácil y bien documentado que no requiere tácticas de ingeniería social sofisticadas u otros métodos.
Se dice que los actores de amenazas detrás de HinataBot han estado activos desde al menos diciembre de 2022, y los ataques primero intentaron usar una variante genérica de Mirai basada en Go antes de cambiar a su propio malware personalizado a partir del 11 de enero de 2023.
Desde entonces, se han detectado artefactos más nuevos en los honeypots HTTP y SSH de Akamai este mes, incorporando una funcionalidad más modular y medidas de seguridad añadidas para resistir el análisis. Esto indica que HinataBot todavía está en desarrollo activo y evolucionando.
El malware, al igual que otras redes de bots DDoS de este tipo, es capaz de ponerse en contacto con un servidor de comando y control (C2) para escuchar las instrucciones entrantes e iniciar ataques contra una dirección IP de destino durante un período específico.
Mientras que las primeras versiones de la botnet utilizaban protocolos como HTTP, UDP, TCP e ICMP para llevar a cabo ataques DDoS, la última iteración se limita solo a HTTP y UDP. No se sabe de inmediato por qué se eliminaron los otros dos protocolos.
Akamai, que realizó pruebas de ataque de 10 segundos utilizando HTTP y UDP, reveló que la inundación HTTP generó 3,4 MB de datos de captura de paquetes y envió 20 430 solicitudes HTTP. La inundación UDP, por otro lado, creó 6733 paquetes para un total de 421 MB de datos de captura de paquetes.
En un ataque hipotético en el mundo real con 10 000 bots, una inundación UDP alcanzaría un máximo de más de 3,3 terabit por segundo (Tbps), lo que daría como resultado un potente ataque volumétrico. Una inundación HTTP generaría un tráfico de aproximadamente 27 gigabits por segundo (Gbps)
El desarrollo lo convierte en el último en unirse a la lista cada vez mayor de amenazas emergentes basadas en Go, como GoBruteforcer y KmsdBot .
«Los atacantes han aprovechado Go para cosechar los beneficios de su alto rendimiento, la facilidad de subprocesos múltiples, su arquitectura múltiple y el soporte de compilación cruzada del sistema operativo, pero también es probable porque agrega complejidad cuando se compila, lo que aumenta la dificultad de la ingeniería inversa. binarios resultantes», dijo Akamai.
Los hallazgos también se producen cuando Microsoft reveló que los ataques TCP surgieron como la forma más frecuente de ataque DDoS encontrado en 2022, representando el 63 % de todo el tráfico de ataques, seguido de inundaciones UDP y ataques de amplificación (22 %) y ataques de anomalías de paquetes (15 %). %).
Además de usarse como distracción para ocultar la extorsión y el robo de datos, también se espera que aumenten los ataques DDoS debido a la llegada de nuevas cepas de malware que son capaces de apuntar a dispositivos IoT y apoderarse de cuentas para obtener acceso no autorizado a los recursos.
«Con los ataques DDoS cada vez más frecuentes, sofisticados y económicos, es importante que las organizaciones de todos los tamaños sean proactivas, permanezcan protegidas durante todo el año y desarrollen una estrategia de respuesta DDoS», dijo el equipo de seguridad de red de Azure del gigante tecnológico.
Fuente y redacción: thehackernews.com
