Hpingbot botnet
Az NSFOCUS Fuying Lab felfedezett egy teljesen új, Go nyelven írt Hpingbot botnet-családot, mely különbözik a korábbi Mirai- és Gafgyt-klónoktól, és június óta terjed Windows, Linux és IoT eszközökön. A bot cross-platform, támogatja az amd64, ARM, MIPS és 80386 architektúrákat, és DDoS-támadásokra specializálódott az ismert hping3 hálózati eszköz segítségével.
A Hpingbot legérdekesebb újdonsága a Pastebin-alapú payload-terjesztés, négy előre beégetett Pastebin-linkről tölti le és futtatja a shell-scripteket, amelyek meghatározzák, milyen DDoS-támadás indítható, vagy éppen más kártékony komponensek telepíthetők – ezzel elkerüli a hagyományos parancsvezérlési infrastruktúrához kapcsolódó detektálást.
Az elsődleges művelet június 17–e óta fut, több száz DDoS-parancsot indítottak különböző országok, köztük Németország, USA és Törökország ellen. A konzervatív működéssel – hibernációs üzemmódban várakozás – válaszolnak, így kevés a folyamatos hálózati jel, és nehéz időben észlelni őket.
A botnet több mint tízféle DDoS-támadási vektorral rendelkezik – a klasszikus ACK, SYN, TCP, UDP flood mellett kevert és összetett formákkal is operál. Emellett a Windows-változatban – bár nem futtat hping3-at – a pastebinről letöltött payload révén még további kártevők, például zsarolóvírusok is telepíthetők, így nem csak szolgáltatásleállítást indíthat, hanem potenciális terjesztőplatformként szolgálhat.
A támadók kihasználják az esetlegesen gyenge SSH-beállításokat és jelszavakat is – ez password-spraying modullal automatizáltan próbál bejutni rendszerekbe, hogy előbb telepítse a botot, majd a DDoS-modult indítsa.
