Aquabot Botnet
En Mirai-baseret botnet-variant, kendt som Aquabot, er blevet opdaget, der aktivt forsøger at udnytte en sikkerhedsfejl, der påvirker Mitel-telefoner. Angriberne sigter mod at integrere disse enheder i et botnet, der er i stand til at lancere Distributed Denial-of-Service (DDoS)-angreb.
Indholdsfortegnelse
Sårbarheden i fokus: CVE-2024-41710
Den målrettede sikkerhedsfejl, CVE-2024-41710, har en CVSS-score på 6,8 og stammer fra en kommandoinjektionssårbarhed i opstartsprocessen. Denne fejl kan tillade angribere at udføre vilkårlige kommandoer i telefonens driftsmiljø.
Berørte enheder og patchdetaljer
Sårbarheden påvirker flere Mitel-telefonmodeller, herunder 6800-serien, 6900-serien, 6900w-seriens SIP-telefoner og 6970-konferenceenheden. Mitel adresserede problemet i juli 2024, men en proof-of-concept (PoC) udnyttelse blev offentligt tilgængelig i august, hvilket potentielt åbnede døren for trusselsaktører.
Mere end én sårbarhed i spil
Ud over CVE-2024-41710 er Aquabot blevet observeret målrettet mod yderligere sårbarheder, herunder CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 og CVE-202013. Botnettet har også forsøgt at udnytte en fejl ved fjernudførelse af kode i Linksys E-series enheder, hvilket indikerer en bred angrebsflade.
Aquabot: Et Mirai-baseret botnet med en historie
Aquabot er et botnet afledt af den berygtede Mirai -ramme, designet eksplicit til at udføre DDoS-angreb. Forskere har fulgt dens aktivitet siden november 2023 med beviser for kontinuerlig udvikling.
Udnyttelse af fejlen: angrebsmekanisme
De første tegn på aktiv udnyttelse mod CVE-2024-41710 dukkede op i begyndelsen af januar 2025. Angribere implementerer botnet-malwaren ved at udføre et shell-script, som henter den truende nyttelast ved hjælp af 'wget'-kommandoen. Angrebsmetoden ligner meget den offentligt tilgængelige PoC-udnyttelse.
En mere stealthier og mere avanceret variant
Aquabot-varianten, der er involveret i disse angreb, ser ud til at være den tredje iteration af malwaren. Den introducerer en ny 'report_kill'-funktion, som rapporterer tilbage til Command-and-Control-serveren (C2), når botnet-processen afsluttes. Der er dog intet bevis for, at denne funktion udløser noget øjeblikkeligt svar fra serveren.
Derudover forklæder den nye variant sig som 'httpd.x86' for at undgå detektion og er programmeret til at afslutte specifikke processer, såsom lokale skaller. Disse justeringer antyder bestræbelser på at gøre Aquabot mere undvigende og potentielt opdage konkurrerende botnet-aktivitet.
Salg af adgang: Den underjordiske DDoS-for-Hire Operation
Tegn peger på trusselsaktørerne bag Aquabot, der tilbyder deres botnet som en DDoS-tjeneste på Telegram. De opererer under aliaser som Cursinq Firewall, The Eye Services og The Eye Botnet og udnytter kompromitterede værter til at levere angrebsmuligheder til betalende kunder.
Det større billede: Mirai's dvælende trussel
Genopblomstringen af Mirai-baserede trusler som Aquabot fremhæver de fortsatte risici forbundet med internetforbundne enheder. Mange af disse enheder lider af utilstrækkelig sikkerhed, forældet software eller standardlegitimationsoplysninger, hvilket gør dem til lette mål for udnyttelse.
En vildledende begrundelse fra angribere
Trusselsaktører hævder ofte, at deres botnet-operationer udelukkende er til test- eller uddannelsesformål, idet de forsøger at vildlede forskere og retshåndhævelse. Yderligere analyser afslører dog ofte deres sande hensigter - at tilbyde DDoS-tjenester eller åbenlyst prale af deres botnet-aktiviteter i underjordiske fora og Telegram-kanaler.
