Aquabot Botnet
S'ha detectat una variant de botnet basada en Mirai, coneguda com Aquabot, intentant explotar activament una fallada de seguretat que afecta els telèfons Mitel. Els atacants pretenen integrar aquests dispositius en una botnet capaç de llançar atacs de denegació de servei distribuït (DDoS).
Taula de continguts
La vulnerabilitat en focus: CVE-2024-41710
La fallada de seguretat dirigida, CVE-2024-41710, té una puntuació CVSS de 6,8 i prové d'una vulnerabilitat d'injecció d'ordres en el procés d'arrencada. Aquest defecte pot permetre als atacants executar ordres arbitràries dins de l'entorn operatiu del telèfon.
Dispositius afectats i detalls del pedaç
La vulnerabilitat afecta diversos models de telèfons Mitel, inclosos els telèfons SIP de la sèrie 6800, la sèrie 6900, la sèrie 6900w i la unitat de conferències 6970. Mitel va abordar el problema el juliol del 2024, però una explotació de prova de concepte (PoC) va estar disponible públicament a l'agost, la qual cosa podria obrir la porta als actors de l'amenaça.
Més d'una vulnerabilitat en joc
Més enllà de CVE-2024-41710, s'ha observat que Aquabot s'orienta a vulnerabilitats addicionals, com ara CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 i CVE-2023-268. La botnet també ha intentat explotar una fallada d'execució de codi remota als dispositius de la sèrie E de Linksys, cosa que indica una àmplia superfície d'atac.
Aquabot: una botnet basada en Mirai amb història
Aquabot és una botnet derivada del famós marc Mirai , dissenyada explícitament per executar atacs DDoS. Els investigadors fan un seguiment de la seva activitat des del novembre de 2023, amb evidència d'evolució contínua.
Explotant el defecte: mecanisme d'atac
Els primers signes d'explotació activa contra CVE-2024-41710 van sorgir a principis de gener de 2025. Els atacants despleguen el programari maliciós de botnet executant un script d'intèrpret d'ordres, que recupera la càrrega útil amenaçadora mitjançant l'ordre 'wget'. El mètode d'atac s'assembla molt a l'explotació PoC disponible públicament.
Una variant més furtiva i més avançada
La variant d'Aquabot implicada en aquests atacs sembla ser la tercera iteració del programari maliciós. Introdueix una nova funció "report_kill", que informa al servidor d'ordres i control (C2) sempre que s'acaba el procés de botnet. Tanmateix, no hi ha proves que aquesta funció desencadeni cap resposta immediata del servidor.
A més, la nova variant es disfressa de "httpd.x86" per evitar la detecció i està programada per finalitzar processos específics, com ara shells locals. Aquests perfeccionaments suggereixen esforços per fer que Aquabot sigui més evasiu i potencialment detectar l'activitat de botnets competidores.
Accés de venda: l'operació subterrània de DDoS de lloguer
Els signes apunten als actors d'amenaça darrere d'Aquabot que ofereixen la seva botnet com a servei DDoS a Telegram. Funcionen amb àlies com Cursinq Firewall, The Eye Services i The Eye Botnet, aprofitant amfitrions compromeses per oferir capacitats d'atac als clients de pagament.
La imatge més gran: l'amenaça persistent de Mirai
El ressorgiment d'amenaces basades en Mirai com Aquabot posa de manifest els riscos continuats associats als dispositius connectats a Internet. Molts d'aquests dispositius pateixen una seguretat inadequada, programari obsolet o credencials predeterminades, cosa que els converteix en objectius fàcils d'explotar.
Una justificació enganyosa dels atacants
Els actors de l'amenaça sovint afirmen que les seves operacions de botnet són només amb finalitats de prova o educatives, intentant enganyar els investigadors i les forces de l'ordre. No obstant això, una anàlisi posterior revela sovint les seves veritables intencions: oferir serveis DDoS o presumir obertament de les seves activitats de botnet en fòrums subterranis i canals de Telegram.
