Aquabot Botnet

تم اكتشاف نوع من شبكة الروبوتات المستندة إلى Mirai، والمعروفة باسم Aquabot، وهي تحاول بنشاط استغلال ثغرة أمنية تؤثر على هواتف Mitel. ويهدف المهاجمون إلى دمج هذه الأجهزة في شبكة روبوتات قادرة على إطلاق هجمات الحرمان من الخدمة الموزعة (DDoS).

الثغرة الأمنية في بؤرة الاهتمام: CVE-2024-41710

تبلغ درجة CVSS للثغرة الأمنية المستهدفة CVE-2024-41710 6.8 وتنبع من ثغرة حقن الأوامر في عملية التمهيد. وقد تسمح هذه الثغرة للمهاجمين بتنفيذ أوامر عشوائية داخل بيئة تشغيل الهاتف.

الأجهزة المتأثرة وتفاصيل التصحيح

تؤثر الثغرة الأمنية على العديد من طرز هواتف Mitel، بما في ذلك هواتف SIP من سلسلة 6800 وسلسلة 6900 وهواتف SIP من سلسلة 6900w ووحدة المؤتمرات 6970. عالجت Mitel المشكلة في يوليو 2024، ولكن ثغرة إثبات المفهوم (PoC) أصبحت متاحة للجمهور في أغسطس، مما قد يفتح الباب أمام الجهات الفاعلة المهددة.

أكثر من ثغرة أمنية في اللعبة

بالإضافة إلى CVE-2024-41710، لوحظ أن Aquabot يستهدف ثغرات أمنية إضافية، بما في ذلك CVE-2018-10561 وCVE-2018-10562 وCVE-2018-17532 وCVE-2022-31137 وCVE-2023-26801. كما حاولت شبكة الروبوتات استغلال خلل في تنفيذ التعليمات البرمجية عن بُعد في أجهزة Linksys E-series، مما يشير إلى وجود مساحة هجوم واسعة.

Aquabot: شبكة روبوتات تعتمد على Mirai ولها تاريخ

Aquabot عبارة عن شبكة روبوتات مستمدة من إطار Mirai سيئ السمعة، وهي مصممة خصيصًا لتنفيذ هجمات الحرمان من الخدمة الموزعة. وقد كان الباحثون يتتبعون نشاطها منذ نوفمبر 2023، مع وجود أدلة على تطورها المستمر.

استغلال الخلل: آلية الهجوم

ظهرت أولى علامات الاستغلال النشط ضد CVE-2024-41710 في أوائل يناير 2025. ينشر المهاجمون برامج البوت نت الخبيثة من خلال تنفيذ نص برمجي، يسترد الحمولة المهددة باستخدام الأمر "wget". تشبه طريقة الهجوم عن كثب استغلال إثبات المفهوم المتاح للجمهور.

نسخة أكثر تقدمًا وأكثر سرية

يبدو أن النسخة التي استخدمت في هذه الهجمات من برنامج Aquabot هي النسخة الثالثة من البرنامج الخبيث. وهي تقدم وظيفة جديدة تسمى "report_kill"، والتي ترسل التقارير إلى خادم Command-and-Control (C2) كلما انتهت عملية شبكة الروبوتات. ومع ذلك، لا يوجد دليل على أن هذه الوظيفة تؤدي إلى أي استجابة فورية من الخادم.

بالإضافة إلى ذلك، يتنكر الإصدار الجديد باسم "httpd.x86" لتجنب الكشف عنه، وهو مبرمج لإنهاء عمليات معينة، مثل الأغلفة المحلية. وتشير هذه التحسينات إلى الجهود المبذولة لجعل Aquabot أكثر مراوغة وقادرة على اكتشاف نشاط شبكات الروبوتات المنافسة.

بيع الوصول: عملية DDoS السرية مقابل أجر

تشير الدلائل إلى الجهات الفاعلة التي تقف وراء التهديد الذي تقدمه Aquabot على شبكة الروبوتات الخاصة بها كخدمة DDoS على Telegram. تعمل هذه الجهات تحت أسماء مستعارة مثل Cursinq Firewall وThe Eye Services وThe Eye Botnet، وتستغل المضيفين المخترقين لتوفير قدرات الهجوم للعملاء الذين يدفعون.

الصورة الأكبر: التهديد المستمر الذي تشكله ميراي

إن عودة ظهور التهديدات القائمة على ميراي مثل Aquabot تسلط الضوء على المخاطر المستمرة المرتبطة بالأجهزة المتصلة بالإنترنت. فالكثير من هذه الأجهزة تعاني من ضعف الأمان، أو البرامج القديمة، أو بيانات الاعتماد الافتراضية، مما يجعلها أهدافًا سهلة للاستغلال.

تبرير مضلل من المهاجمين

غالبًا ما يزعم مرتكبو التهديدات أن عمليات شبكات الروبوتات الخاصة بهم مخصصة للاختبار أو لأغراض تعليمية بحتة، في محاولة لتضليل الباحثين ووكالات إنفاذ القانون. ومع ذلك، غالبًا ما يكشف التحليل الإضافي عن نواياهم الحقيقية - تقديم خدمات DDoS أو التباهي علنًا بأنشطتهم في شبكات الروبوتات في المنتديات السرية وقنوات Telegram.