Aquabot Botnet
Byla zjištěna varianta botnetu založená na Mirai, známá jako Aquabot, která se aktivně pokouší zneužít bezpečnostní chybu ovlivňující telefony Mitel. Cílem útočníků je integrovat tato zařízení do botnetu schopného spouštět útoky DDoS (Distributed Denial-of-Service).
Obsah
Zaostřená chyba zabezpečení: CVE-2024-41710
Cílená bezpečnostní chyba, CVE-2024-41710, nese skóre CVSS 6,8 a pramení ze zranitelnosti vkládání příkazů v procesu spouštění. Tato chyba může útočníkům umožnit provádět libovolné příkazy v operačním prostředí telefonu.
Dotčená zařízení a podrobnosti o opravě
Tato chyba zabezpečení se týká několika modelů telefonů Mitel, včetně SIP telefonů řady 6800, 6900, 6900w a konferenční jednotky 6970. Mitel se tímto problémem zabýval v červenci 2024, ale v srpnu byl veřejně dostupný exploit proof-of-concept (PoC), který potenciálně otevřel dveře pro aktéry hrozeb.
Více než jedna chyba zabezpečení ve službě Play
Kromě CVE-2024-41710 byl Aquabot pozorován, jak se zaměřuje na další zranitelnosti, včetně CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 a CVE2.6027 Botnet se také pokusil zneužít chyby vzdáleného spuštění kódu v zařízeních Linksys E-series, což naznačuje širokou plochu útoku.
Aquabot: Botnet založený na Mirai s historií
Aquabot je botnet odvozený z notoricky známého rámce Mirai , navržený výslovně pro provádění DDoS útoků. Vědci sledovali jeho aktivitu od listopadu 2023 s důkazy o neustálém vývoji.
Využití chyby: Mechanismus útoku
První známky aktivního zneužívání proti CVE-2024-41710 se objevily počátkem ledna 2025. Útočníci nasazují malware botnetu spuštěním skriptu shellu, který pomocí příkazu „wget“ načte ohrožující užitečné zatížení. Metoda útoku se velmi podobá veřejně dostupnému exploitu PoC.
Tajemnější a pokročilejší varianta
Varianta Aquabot zapojená do těchto útoků se zdá být třetí iterací malwaru. Zavádí novou funkci 'report_kill', která podává zprávu serveru Command-and-Control (C2) vždy, když je proces botnetu ukončen. Neexistuje však žádný důkaz, že tato funkce spouští jakoukoli okamžitou odpověď ze serveru.
Kromě toho se nová varianta maskuje jako „httpd.x86“, aby se zabránilo detekci, a je naprogramována tak, aby ukončila specifické procesy, jako jsou místní shelly. Tato vylepšení naznačují úsilí, aby byl Aquabot vyhýbavější a potenciálně detekoval konkurenční aktivitu botnetu.
Prodejní přístup: Podzemní operace DDoS-for-Hire
Známky poukazují na aktéry hrozeb za Aquabotem, který nabízí svůj botnet jako službu DDoS na Telegramu. Fungují pod aliasy jako Cursinq Firewall, The Eye Services a The Eye Botnet a využívají kompromitované hostitele k poskytování útočných schopností platícím zákazníkům.
Větší obrázek: Mirai’s přetrvávající hrozba
Obnovení hrozeb založených na Mirai, jako je Aquabot, zdůrazňuje pokračující rizika spojená se zařízeními připojenými k internetu. Mnoho z těchto zařízení trpí nedostatečným zabezpečením, zastaralým softwarem nebo výchozími přihlašovacími údaji, což z nich činí snadný cíl pro zneužití.
Zavádějící odůvodnění od útočníků
Aktéři hrozeb často tvrdí, že jejich operace botnetů jsou čistě pro testovací nebo vzdělávací účely a pokoušejí se oklamat výzkumníky a orgány činné v trestním řízení. Další analýza však často odhalí jejich skutečné záměry – nabízet DDoS služby nebo se otevřeně chlubit svými botnetovými aktivitami na podzemních fórech a telegramových kanálech.
