Realtek SDK, Huawei yönlendiricileri ve Hadoop İplik sunucularını, cihazları DDOS'a (dağıtılmış hizmet reddi) almak için büyük saldırılar potansiyeli ile birlikte yeni bir kötü amaçlı botnet keşfedildi.
Yeni Botnet, yılın başında Akamai'deki araştırmacılar tarafından keşfedildi, HTTP ve SSH balayepotlarında yakaladı ve CVE-2014-8361 ve CVE-2017-17215 gibi eski kusurları kullandı.
Akamai, Hinatabot’un operatörlerinin başlangıçta Mirai ikili dosyalarını dağıttığını söylerken, Hinatabot ilk olarak Ocak ayı ortasında ortaya çıktı.
Aktif kampanyalardan Mart 2023'e kadar birden fazla örnek yakaladıktan sonra, Akamai’nin araştırmacıları, kötü amaçlı yazılımların aktif geliştirme altında olduğunu ve fonksiyonel iyileştirmeler ve anti-analiz eklemeleri içeren çıkardı.
Kötü amaçlı yazılım, Brute-zorunlu SSH uç noktaları tarafından veya bilinen güvenlik açıkları için enfeksiyon betiği ve RCE yükleri kullanılarak dağıtılır.
Cihazları enfekte ettikten sonra, kötü amaçlı yazılım sessizce çalışacak ve komutların komut ve kontrol sunucusundan yürütülmesini bekleyecektir.
Akamai'nin analistleri kendilerine ait bir C2 oluşturdu ve kötü amaçlı yazılımları harekete geçirmek ve saldırı yeteneklerini çıkarmak için DDOS saldırıları için Hinatabot'u aşamalı olarak simüle edilmiş enfeksiyonlarla etkileşime girdiler.
Hinatabot'un eski sürümleri HTTP, UDP, ICMP ve TCP sellerini destekliyor, ancak yeni varyantlar sadece ilk ikisini içeriyor. Bununla birlikte, sadece iki saldırı modu ile bile, botnet potansiyel olarak çok güçlü dağıtılmış hizmet saldırıları gerçekleştirebilir.
HTTP ve UDP saldırı komutları farklı olsa da, her ikisi de tanımlanmış bir süre için hedeflere sert kodlanmış veri paketleri gönderen 512 işçi (süreçler) işçi havuzu oluşturur.
HTTP paket boyutu 484 ve 589 bayt arasında değişir. Hinatabot tarafından üretilen UDP paketleri özellikle büyüktür (65.549 bayt) ve hedefi büyük bir trafik hacmiyle ezebilen null baytlardan oluşur.
HTTP selleri büyük miktarlarda web sitesi talepleri üretirken, UDP Sel hedefe büyük miktarda çöp trafiği gönderir; Bu nedenle iki yöntem farklı bir yaklaşım kullanarak bir kesinti elde etmeye çalışır.
Akamai, Botnet'i hem HTTP hem de UDP için 10 saniyelik saldırılarda karşılaştırdı ve HTTP saldırısında kötü amaçlı yazılım toplam 3.4 MB boyutu için 20.430 talep oluşturdu. UDP seli toplam 421 MB veri ile 6.733 paket üretti.
Araştırmacılar, 1.000 düğümle UDP selinin yaklaşık 336 Gbps üretebileceğini, 10.000 düğümde ise saldırı veri hacminin 3.3 Tbps'ye ulaşacağını tahmin etti.
HTTP Sel durumunda, 1.000 Ensnared Cihaz saniyede 2.000.000 talep üretirken, 10.000 düğüm bu sayı 20.400.000 Rps ve 27 Gbps alacaktı.
Hinatabot hala geliştirilmektedir ve daha fazla istismar uygulayabilir ve hedefleme kapsamını her zaman genişletebilir. Ayrıca, gelişiminin bu kadar aktif olması, yakında vahşi doğada dolaşan daha güçlü versiyonları görme olasılığını arttırır.
Akamai, "Bu teorileştirilmiş yetenekler, katılacak farklı sunucuları, kendi bant genişliği ve donanım özelliklerini vb. Dikkatli değil, ancak resmi alırsınız."
"Umarım Hinatabot yazarları, botnet'leriyle gerçek bir ölçekte uğraşmadan önce yeni hobilere geçiyorlar."
Yeni Mirai kötü amaçlı yazılım varyantı, DDOS Botnet'i oluşturmak için Linux cihazlarını enfekte eder
Medusa Botnet, fidye yazılımı sokması ile Mirai tabanlı bir varyant olarak geri döner
Yeni Gobruteforcer kötü amaçlı yazılım hedefleri PhpmyAdmin, MySQL, FTP, Postgres
Yeni başlık kötü amaçlı yazılım, Monero'ya Minero'ya 1.200 Redis Sunucusuna Enfekte
Hastanelere yapılan son saldırılarda kullanılan yeni DDOS-Hizmet Platformu
Kaynak: Bleeping Computer