NUEVA CAMPAÑA DE LA BOTNET HINATABOT

20/03/2023

BOLETÍN NRO 2023-183

Recientemente se ha observado una nueva red de bots basada en Golang apodada HinataBot que aprovecha fallos conocidos para comprometer routers y servidores y utilizarlos para realizar ataques de denegación de servicio (DDoS).

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: CVE-2014-8361, CVE-2017-17215		Severidad:   ALTA
Amenaza: HinataBot		Categoría: Ataque Cibernético

Entre los métodos empleados para distribuir el malware se encuentran la explotación de servidores Hadoop YARN expuestos y fallos de seguridad en dispositivos Realtek SDK (CVE-2014-8361) y routers Huawei HG532 (CVE-2017-17215).

Las vulnerabilidades sin parches y las credenciales débiles representan un punto de entrada fácil que no requiere sofisticadas tácticas de ingeniería social u otros métodos.

Se dice que los creadores de la amenaza HinataBot llevan activos al menos desde diciembre de 2022, y que primero intentaron usar una variante genérica de Mirai basada en Go antes de cambiar a su propio malware personalizado a partir del 11 de enero de 2023.

El malware, al igual que otros botnets DDoS de su clase, es capaz de ponerse en contacto con un servidor de mando y control (C2) para escuchar las instrucciones entrantes e iniciar ataques contra una dirección IP objetivo durante un tiempo determinado.

Mientras que las primeras versiones de la botnet usaban protocolos como HTTP, UDP, TCP e ICMP para llevar a cabo ataques DDoS, la última iteración se limita solo a HTTP y UDP. Se desconoce por qué se han eliminado los otros dos protocolos.

En un hipotético ataque real con 10.000 bots, un flood UDP alcanzaría un pico de más de 3,3 terabits por segundo (Tbps), lo que daría lugar a un potente ataque volumétrico. Un flood HTTP generaría un tráfico de aproximadamente 27 gigabits por segundo (Gbps).

Estas características lo convierten en el último en unirse a la creciente lista de amenazas emergentes basadas en Go, como GoBruteforcer y KmsdBot.

El lenguaje Go ha sido aprovechado por los atacantes para cosechar los beneficios de su alto rendimiento, facilidad de multihilo, su arquitectura múltiple y soporte de compilación cruzada de sistemas operativos, pero también probablemente porque añade complejidad cuando se compila, aumentando la dificultad de la ingeniería inversa de los binarios resultantes.

Los hallazgos también se producen cuando Microsoft reveló que los ataques TCP surgieron como la forma más frecuente de ataque DDoS encontrada en 2022, representando el 63% de todo el tráfico de ataque.

Además de ser utilizados como distracciones para ocultar la extorsión y el robo de datos, también se espera que los ataques DDoS aumenten debido a la llegada de nuevas cepas de malware capaces de dirigirse a dispositivos IoT y tomar el control de cuentas para obtener acceso no autorizado a los recursos.

Indicadores de Compromiso

IP

77[.]73[.]131[.]247

156[.]236[.]16[.]237

185[.]112[.]83[.]254

Hash

MD5: 7dd8eda023828cdd4618ac9b1dd2cef8

SHA-256: 8a84dc2a9a06b1fae0dd16765509f88f6f54559c36d4353fd040d02d4563f703

MD5: 9b1355f5b0582ff8f9e78e84c072bc18

SHA-256: 6ec35ef48ffdf9a92aa8845c336b327c280e1f20d7130ba0856540aed3233bbc

MD5: c2c5ffaa6e343394dd9431c62c917611

SHA-256: 5643bf01e113de246575a9ec39ea12a85f9babb6ac069132ad8d1a7bfa56ed1b

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: New ‘HinataBot’ botnet could launch massive 3.3 Tbps DDoS attacks
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​