Akamai Technologiesは3月16日(米国時間)、「Uncovering HinataBot: A Deep Dive into a Go-Based Threat|Akamai」において、新種のボットネット型マルウェアを発見したことを伝えた。「HinataBot」と呼ばれる新たなボットネットがAkamai TechnologiesのHTTPおよびSSHハニーポット内に配置されていたことがわかった。

Uncovering HinataBot: A Deep Dive into a Go-Based Threat|Akamai

Go言語で記述された新たなマルウェアが発見された。このボットネットのサンプルのファイル名構造が「Hinata--」となっていたため、人気アニメシリーズ『NARUTO』のキャラクターにちなんだ名前が付けられている。

HinataBotの感染キャンペーンには、Hadoop YARNサーバの脆弱性(CVEなし)、Realtek SDKデバイスの脆弱性(CVE-2014-8361)、Huawei HG532ルータの脆弱性(CVE-2017-17215、CVSSスコア値:8.8、深刻度:重要(High))の3つの欠陥が使われていることが特定されている。

また、ダイヤルアウトやリスニングなどさまざまな通信手段を用い、HTTP、UDP、TCP、ICMPなどのプロトコルを使ってフラッディング攻撃(分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack))を行っていたこともわかっている。ただし、HinataBotの最新版では、フラッディング攻撃をHTTPおよびUDPのみに絞り込んでいることが確認されている。

HinataBotの背後にいる脅威者は少なくとも2022年12月から活動していたと判断されており、初期の攻撃では同じくGo言語ベースのボットネットである「Mirai」の亜種を使っていたことが判明している。その後、2023年1月頃から独自にカスタマイズしたマルウェアに切り替えていったとみられている。