Aquabot Botnet
Вариант на ботнет, базиран на Mirai, известен като Aquabot, беше открит, опитвайки се активно да използва пропуск в сигурността, засягащ телефоните на Mitel. Нападателите имат за цел да интегрират тези устройства в ботнет, способен да стартира атаки за разпределен отказ на услуга (DDoS).
Съдържание
Уязвимостта на фокус: CVE-2024-41710
Целевият пропуск в сигурността, CVE-2024-41710, носи CVSS резултат от 6,8 и произтича от уязвимост при инжектиране на команда в процеса на зареждане. Този пропуск може да позволи на нападателите да изпълняват произволни команди в работната среда на телефона.
Засегнати устройства и подробности за корекцията
Уязвимостта засяга множество модели телефони на Mitel, включително SIP телефони от серия 6800, серия 6900, серия 6900w и конферентен модул 6970. Mitel обърна внимание на проблема през юли 2024 г., но експлойтът за доказателство на концепцията (PoC) стана публично достъпен през август, потенциално отваряйки вратата за заплахи.
Повече от една уязвимост в играта
Освен CVE-2024-41710, Aquabot се насочва към допълнителни уязвимости, включително CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 и CVE-2023-26801. Ботнетът също така се е опитал да използва пропуск в отдалечено изпълнение на код в устройства от E-серията на Linksys, което показва широка повърхност за атака.
Aquabot: Базиран на Mirai ботнет с история
Aquabot е ботнет, извлечен от прословутата рамка Mirai , предназначен изрично за извършване на DDoS атаки. Изследователите проследяват дейността му от ноември 2023 г. с доказателства за непрекъсната еволюция.
Експлоатиране на недостатъка: механизъм за атака
Първите признаци на активна експлоатация срещу CVE-2024-41710 се появиха в началото на януари 2025 г. Нападателите внедряват злонамерения софтуер на ботнета, като изпълняват шел скрипт, който извлича заплашителния полезен товар с помощта на командата 'wget'. Методът на атака много наподобява публично достъпния PoC експлойт.
По-скрит и по-усъвършенстван вариант
Вариантът на Aquabot, участващ в тези атаки, изглежда е третата итерация на зловреден софтуер. Той въвежда нова функция 'report_kill', която докладва обратно на Command-and-Control (C2) сървъра, когато процесът на ботнет бъде прекратен. Въпреки това няма доказателства, че тази функция предизвиква незабавен отговор от сървъра.
В допълнение, новият вариант се маскира като „httpd.x86“, за да избегне откриването, и е програмиран да прекрати специфични процеси, като например локални обвивки. Тези подобрения предполагат усилия да се направи Aquabot по-уклончив и потенциално откриване на конкурентна ботнет дейност.
Продажба на достъп: Подземната операция DDoS под наем
Признаците сочат към заплахите зад Aquabot, които предлагат своя ботнет като DDoS услуга на Telegram. Те работят под псевдоними като Cursinq Firewall, The Eye Services и The Eye Botnet, като използват компрометирани хостове, за да осигурят възможности за атака на клиентите, които плащат.
По-голямата картина: продължаващата заплаха на Mirai
Възраждането на базирани на Mirai заплахи като Aquabot подчертава продължаващите рискове, свързани с устройствата, свързани с интернет. Много от тези устройства страдат от неадекватна сигурност, остарял софтуер или идентификационни данни по подразбиране, което ги прави лесни мишени за експлоатация.
Подвеждащо оправдание от нападателите
Актьорите на заплахи често твърдят, че техните ботнет операции са само за тестване или образователни цели, опитвайки се да подведат изследователите и правоприлагащите органи. По-нататъшният анализ обаче често разкрива истинските им намерения - предлагане на DDoS услуги или открито хвалене на техните ботнет дейности в подземни форуми и канали в Telegram.
