Aquabot Botnet

মিরাই-ভিত্তিক বটনেট ভেরিয়েন্ট, যা অ্যাকোয়াবট নামে পরিচিত, মিটেল ফোনগুলিকে প্রভাবিত করে এমন একটি নিরাপত্তা ত্রুটিকে কাজে লাগানোর চেষ্টা করছে বলে সনাক্ত করা হয়েছে। আক্রমণকারীদের লক্ষ্য এই ডিভাইসগুলিকে একটি বটনেটের সাথে একীভূত করা যা ডিস্ট্রিবিউটেড ডিনায়াল-অফ-সার্ভিস (DDoS) আক্রমণ শুরু করতে সক্ষম।

ফোকাসে দুর্বলতা: CVE-2024-41710

লক্ষ্যবস্তুযুক্ত নিরাপত্তা ত্রুটি, CVE-2024-41710, এর CVSS স্কোর 6.8 এবং এটি বুট প্রক্রিয়ায় কমান্ড ইনজেকশন দুর্বলতার কারণে উদ্ভূত। এই ত্রুটি আক্রমণকারীদের ফোনের অপারেটিং পরিবেশের মধ্যে ইচ্ছামত কমান্ড কার্যকর করার অনুমতি দিতে পারে।

প্রভাবিত ডিভাইস এবং প্যাচের বিবরণ

এই দুর্বলতা 6800 সিরিজ, 6900 সিরিজ, 6900w সিরিজ SIP ফোন এবং 6970 কনফারেন্স ইউনিট সহ একাধিক Mitel ফোন মডেলকে প্রভাবিত করে। Mitel 2024 সালের জুলাই মাসে এই সমস্যাটি সমাধান করে, কিন্তু আগস্ট মাসে একটি প্রুফ-অফ-কনসেপ্ট (PoC) এক্সপ্লয়েট জনসাধারণের কাছে উপলব্ধ হয়ে যায়, যা সম্ভাব্য হুমকিদাতাদের জন্য দরজা খুলে দেয়।

একাধিক দুর্বলতা খেলায়

CVE-2024-41710 এর বাইরে, Aquabot-কে CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137, এবং CVE-2023-26801 সহ আরও দুর্বলতাগুলিকে লক্ষ্য করে লক্ষ্য করা গেছে। বটনেট Linksys E-সিরিজ ডিভাইসগুলিতে একটি রিমোট কোড এক্সিকিউশন ত্রুটিও কাজে লাগানোর চেষ্টা করেছে, যা একটি বিস্তৃত আক্রমণ পৃষ্ঠ নির্দেশ করে।

অ্যাকোয়াবট: ইতিহাস সহ একটি মিরাই-ভিত্তিক বটনেট

অ্যাকোয়াবট হল কুখ্যাত মিরাই ফ্রেমওয়ার্ক থেকে উদ্ভূত একটি বটনেট, যা স্পষ্টভাবে DDoS আক্রমণ চালানোর জন্য ডিজাইন করা হয়েছে। গবেষকরা ২০২৩ সালের নভেম্বর থেকে এর কার্যকলাপ ট্র্যাক করছেন, যার ধারাবাহিক বিবর্তনের প্রমাণ রয়েছে।

ত্রুটিটি কাজে লাগানো: আক্রমণ প্রক্রিয়া

CVE-2024-41710 এর বিরুদ্ধে সক্রিয় শোষণের প্রথম লক্ষণগুলি ২০২৫ সালের জানুয়ারির প্রথম দিকে আবির্ভূত হয়। আক্রমণকারীরা একটি শেল স্ক্রিপ্ট কার্যকর করে বটনেট ম্যালওয়্যার স্থাপন করে, যা 'wget' কমান্ড ব্যবহার করে হুমকিস্বরূপ পেলোড পুনরুদ্ধার করে। আক্রমণ পদ্ধতিটি সর্বজনীনভাবে উপলব্ধ PoC শোষণের সাথে ঘনিষ্ঠভাবে সাদৃশ্যপূর্ণ।

একটি গোপন এবং আরও উন্নত রূপ

এই আক্রমণগুলির সাথে জড়িত অ্যাকোয়াবট ভেরিয়েন্টটি ম্যালওয়্যারের তৃতীয় পুনরাবৃত্তি বলে মনে হচ্ছে। এটি একটি অভিনব 'রিপোর্ট_কিল' ফাংশন প্রবর্তন করে, যা বটনেট প্রক্রিয়া বন্ধ হয়ে গেলে কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারে রিপোর্ট করে। তবে, এমন কোনও প্রমাণ নেই যে এই ফাংশনটি সার্ভার থেকে কোনও তাৎক্ষণিক প্রতিক্রিয়া ট্রিগার করে।

এছাড়াও, নতুন ভেরিয়েন্টটি সনাক্তকরণ এড়াতে 'httpd.x86' হিসাবে নিজেকে ছদ্মবেশ ধারণ করে এবং স্থানীয় শেলের মতো নির্দিষ্ট প্রক্রিয়াগুলি বন্ধ করার জন্য প্রোগ্রাম করা হয়েছে। এই পরিমার্জনগুলি অ্যাকোয়াবটকে আরও ফাঁকি দেওয়ার এবং সম্ভাব্যভাবে প্রতিযোগিতামূলক বটনেট কার্যকলাপ সনাক্ত করার প্রচেষ্টার পরামর্শ দেয়।

বিক্রয় অ্যাক্সেস: ভূগর্ভস্থ ডিডিওএস-ফর-হায়ার অপারেশন

টেলিগ্রামে DDoS পরিষেবা হিসেবে অ্যাকোয়াবট তাদের বটনেট অফার করার পিছনে হুমকিদাতাদের দিকে ইঙ্গিত করছে। তারা কার্সিনক ফায়ারওয়াল, দ্য আই সার্ভিসেস এবং দ্য আই বটনেটের মতো উপনাম ব্যবহার করে কাজ করে, অর্থপ্রদানকারী গ্রাহকদের আক্রমণ ক্ষমতা প্রদানের জন্য আপোসকৃত হোস্টগুলিকে কাজে লাগায়।

বৃহত্তর চিত্র: মিরাইয়ের দীর্ঘস্থায়ী হুমকি

অ্যাকোয়াবটের মতো মিরাই-ভিত্তিক হুমকির পুনরুত্থান ইন্টারনেট-সংযুক্ত ডিভাইসগুলির সাথে সম্পর্কিত অব্যাহত ঝুঁকিগুলিকে তুলে ধরে। এই ডিভাইসগুলির মধ্যে অনেকগুলি অপর্যাপ্ত সুরক্ষা, পুরানো সফ্টওয়্যার বা ডিফল্ট শংসাপত্রের কারণে ভোগে, যা তাদের শোষণের জন্য সহজ লক্ষ্যবস্তুতে পরিণত করে।

আক্রমণকারীদের কাছ থেকে একটি বিভ্রান্তিকর যুক্তি

হুমকিদাতারা প্রায়শই দাবি করে যে তাদের বটনেট কার্যক্রম কেবল পরীক্ষা বা শিক্ষামূলক উদ্দেশ্যে, গবেষক এবং আইন প্রয়োগকারী সংস্থাগুলিকে বিভ্রান্ত করার চেষ্টা করে। তবে, আরও বিশ্লেষণ প্রায়শই তাদের আসল উদ্দেশ্য প্রকাশ করে - DDoS পরিষেবা প্রদান করা অথবা আন্ডারগ্রাউন্ড ফোরাম এবং টেলিগ্রাম চ্যানেলগুলিতে তাদের বটনেট কার্যকলাপ সম্পর্কে প্রকাশ্যে গর্ব করা।