HinataBot

Ein neu entdecktes Golang-basiertes Botnet namens HinataBot nutzt bekanntermaßen bekannte Schwachstellen aus, um Router und Server zu durchbrechen und sie für DDoS-Angriffe (Distributed Denial-of-Service) zu nutzen. Der Name der Bedrohung basiert auf einer Figur aus der beliebten Anime-Serie Naruto, wobei viele Dateinamenstrukturen das Format „Hinata--“ haben. Details über die Bedrohung wurden von den Cybersicherheitsforschern von Akamai veröffentlicht.

Es wird angenommen, dass die Täter hinter HinataBot mindestens seit Dezember 2022 aktiv sind. Damals versuchten sie, eine gemeinsame Go-basierte Mirai-Variante zu verwenden, bevor sie ab dem 11. Januar 2023 zu ihren eigenen maßgeschneiderten Malware-Bedrohungen wechselten. Es wird angenommen, dass sich HinataBot noch in der aktiven Entwicklung befindet.

Cyberkriminelle verlassen sich auf bekannte Schwachstellen, um Geräte zu knacken und HinataBot einzusetzen

Die HinataBot-Malware wird über mehrere Methoden verbreitet, einschließlich der Ausnutzung von exponierten Hadoop-YARN-Servern. Schwachstellen in Realtek SDK-Geräten (CVE-2014-8361) und Huawei HG532-Routern (CVE-2017-17215, CVSS-Wert: 8,8) werden von den Angreifern ebenfalls missbraucht, um auf den Zielsystemen Fuß zu fassen.

Nicht gepatchte Schwachstellen und schwache Anmeldeinformationen waren aufgrund ihrer geringen Sicherheitsanforderungen im Vergleich zu ausgefeilteren Taktiken wie Social Engineering ein leichtes Ziel für Angreifer. Diese Einstiegspunkte bieten eine gut dokumentierte Angriffsmöglichkeit, die leicht ausgenutzt werden kann.

HinataBot ist möglicherweise in der Lage, verheerende DDoS-Angriffe mit 3,3 Tbit/s zu starten

Der HinataBot ist in der Lage, Kontakt mit einem Command-and-Control (C2, C&C)-Server herzustellen, um Anweisungen von den Bedrohungsakteuren zu erhalten. Die Malware kann angewiesen werden, für einen bestimmten Zeitraum DDoS-Angriffe gegen gezielte IP-Adressen zu starten.

Frühere Versionen von HinataBot verwendeten mehrere verschiedene Protokolle wie HTTP, UDP, TCP und ICMP für die DDoS-Angriffe; Diese neueste Iteration der Bedrohung hat jedoch nur zwei beibehalten – das HTTP- und das UDP-Protokoll. Der Grund für das Löschen der anderen Protokolle ist derzeit noch unbekannt.

Die Forscher warnen davor, dass HinataBot verwendet werden kann, um massive DDoS-Angriffe zu starten. Wenn beispielsweise 10.000 Bots gleichzeitig an einem Angriff teilnehmen, könnte eine UDP-Flut Spitzenverkehr von bis zu 3,3 Tbps (Terabit pro Sekunde) erzeugen, während eine HTTP-Flood ein Verkehrsvolumen von etwa 27 Gbps erzeugen würde.

Im Trend

Am häufigsten gesehen

Wird geladen...