Hpingbot explora Pastebin para entrega de payload e usa Hping3 para ofensivas
De acordo com o Sistema Global de Caça a Ameaças da NSFOCUS, referência global em cibersegurança, uma nova família de botnets chamada “Hpingbot”, vem se expandindo rapidamente desde junho último, e marca uma mudança significativa no cenário da segurança cibernética.
Trata-se de uma botnet multiplataforma, construída do zero com a linguagem de programação Go e tem como alvo ambientes Windows e Linux/IoT. Além disso, oferece suporte a diversas arquiteturas de processador, incluindo amd64, mips, arm e 80386.
Ao contrário de botnets como Mirai ou Gafgyt, o Hpingbot apresenta uma inovação ao alavancar recursos não convencionais para furtividade e eficiência, como o uso da plataforma de armazenamento de texto online Pastebin para distribuição de carga útil, e a ferramenta de teste de rede hping3, para executar ataques DDoS.
De acordo com o relatório emitido pela empresa, a abordagem não apenas aumenta a capacidade de evitar a detecção, mas também reduz significativamente os custos associados ao desenvolvimento e operação, tornando o Hpingbot uma ameaça nunca antes vista e em evolução no mundo digital.
Táticas Inovadoras
A estratégia operacional do Hpingbot é notavelmente distinta, pois emprega o Pastebin para hospedar e atualizar dinamicamente cargas maliciosas, permitindo que os invasores ajustem sua distribuição de carga com frequência.
Dados de monitoramento da NSFOCUS indicam que links do Pastebin incorporados na botnet mudaram o conteúdo diversas vezes, desde meados do mês passado, como hospedagem de endereços IP até o fornecimento de scripts para baixar componentes adicionais.
Essa flexibilidade é combinada com a dependência da botnet no hping3, uma ferramenta de linha de comando versátil normalmente usada para diagnósticos de rede, para lançar uma variedade de ataques DDoS, como SYN, UDP e inundações de modo misto.
Curiosamente, embora a versão para Windows do Hpingbot não possa utilizar o hping3 para ataques DDoS devido a limitações ambientais, sua atividade persistente ressalta um foco mais amplo no download e execução de cargas arbitrárias, sugerindo intenções além da mera interrupção da rede.
A baixa frequência de instruções DDoS do botnet (algumas centenas), visando inclusive o Brasil, sugere que os invasores estão priorizando a construção de infraestrutura para atividades maliciosas subsequentes.
Evolução rápida
A rápida interação do Hpingbot, com atualizações frequentes do conteúdo do Pastebin, servidores C&C e scripts de instalação, aponta para uma equipe de desenvolvimento profissional com objetivos operacionais de longo prazo.
Desde 19 de junho, os invasores distribuíram componentes DDoS adicionais baseados em Go, indicando uma estratégia para substituir partes do botnet original ou expandir sua rede de distribuição de carga útil. Além disso, o módulo de propagação SSH independente do Hpingbot, os mecanismos de persistência via Systemd, SysVinit e Cron, e as técnicas de limpeza de rastreamento revelam uma abordagem sofisticada para manter o controle sobre sistemas comprometidos.
À medida que as botnets servem cada vez mais como postos avançados para grupos APT e campanhas de ransomware, o potencial do Hpingbot de distribuir cargas mais perigosas continua sendo uma preocupação crítica, exigindo vigilância e monitoramento contínuos.