Aquabot Botnet
Μια παραλλαγή botnet που βασίζεται στο Mirai, γνωστή ως Aquabot, εντοπίστηκε να προσπαθεί ενεργά να εκμεταλλευτεί ένα ελάττωμα ασφαλείας που επηρεάζει τα τηλέφωνα Mitel. Οι εισβολείς στοχεύουν να ενσωματώσουν αυτές τις συσκευές σε ένα botnet ικανό να εκτοξεύει επιθέσεις Distributed Denial-of-Service (DDoS).
Πίνακας περιεχομένων
Η ευπάθεια στην εστίαση: CVE-2024-41710
Το στοχευμένο ελάττωμα ασφαλείας, CVE-2024-41710, έχει βαθμολογία CVSS 6,8 και προέρχεται από μια ευπάθεια ένεσης εντολών στη διαδικασία εκκίνησης. Αυτό το ελάττωμα μπορεί να επιτρέψει στους εισβολείς να εκτελούν αυθαίρετες εντολές εντός του λειτουργικού περιβάλλοντος του τηλεφώνου.
Επηρεαζόμενες συσκευές και λεπτομέρειες ενημέρωσης κώδικα
Η ευπάθεια επηρεάζει πολλά μοντέλα τηλεφώνων Mitel, συμπεριλαμβανομένων των τηλεφώνων SIP της σειράς 6800, της σειράς 6900, της σειράς 6900w και της μονάδας συνεδρίων 6970. Η Mitel αντιμετώπισε το ζήτημα τον Ιούλιο του 2024, αλλά ένα exploit proof-of-concept (PoC) έγινε δημόσια διαθέσιμο τον Αύγουστο, ανοίγοντας ενδεχομένως την πόρτα για τους φορείς απειλών.
Περισσότερες από μία ευπάθειες στο Play
Πέρα από το CVE-2024-41710, το Aquabot έχει παρατηρηθεί ότι στοχεύει επιπλέον ευπάθειες, συμπεριλαμβανομένων των CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 και CVE-260. Το botnet προσπάθησε επίσης να εκμεταλλευτεί ένα ελάττωμα απομακρυσμένης εκτέλεσης κώδικα σε συσκευές της σειράς Linksys E, υποδεικνύοντας μια ευρεία επιφάνεια επίθεσης.
Aquabot: Ένα Botnet που βασίζεται στο Mirai με ιστορία
Το Aquabot είναι ένα botnet που προέρχεται από το περιβόητο πλαίσιο Mirai , σχεδιασμένο ρητά για την εκτέλεση επιθέσεων DDoS. Οι ερευνητές παρακολουθούν τη δραστηριότητά του από τον Νοέμβριο του 2023, με στοιχεία συνεχούς εξέλιξης.
Exploiting the Flaw: Attack Mechanism
Τα πρώτα σημάδια ενεργητικής εκμετάλλευσης κατά του CVE-2024-41710 εμφανίστηκαν στις αρχές Ιανουαρίου 2025. Οι εισβολείς αναπτύσσουν το κακόβουλο λογισμικό botnet εκτελώντας ένα σενάριο φλοιού, το οποίο ανακτά το απειλητικό ωφέλιμο φορτίο χρησιμοποιώντας την εντολή «wget». Η μέθοδος επίθεσης μοιάζει πολύ με τη δημόσια διαθέσιμη εκμετάλλευση PoC.
Μια πιο μυστική και πιο προηγμένη παραλλαγή
Η παραλλαγή Aquabot που εμπλέκεται σε αυτές τις επιθέσεις φαίνεται να είναι η τρίτη επανάληψη του κακόβουλου λογισμικού. Εισάγει μια νέα συνάρτηση «report_kill», η οποία αναφέρεται στον διακομιστή Command-and-Control (C2) κάθε φορά που τερματίζεται η διαδικασία botnet. Ωστόσο, δεν υπάρχουν ενδείξεις ότι αυτή η λειτουργία ενεργοποιεί οποιαδήποτε άμεση απόκριση από τον διακομιστή.
Επιπλέον, η νέα παραλλαγή μεταμφιέζεται σε 'httpd.x86' για να αποφευχθεί ο εντοπισμός και είναι προγραμματισμένη να τερματίζει συγκεκριμένες διαδικασίες, όπως τοπικά κελύφη. Αυτές οι βελτιώσεις υποδεικνύουν προσπάθειες για να γίνει το Aquabot πιο διαφυγόν και ενδεχομένως να ανιχνευτεί ανταγωνιστική δραστηριότητα botnet.
Πρόσβαση σε πωλήσεις: Η υπόγεια επιχείρηση DDoS-for-Hire
Τα σημάδια δείχνουν ότι οι φορείς απειλών πίσω από το Aquabot προσφέρουν το botnet τους ως υπηρεσία DDoS στο Telegram. Λειτουργούν με ψευδώνυμα όπως το Cursinq Firewall, The Eye Services και The Eye Botnet, αξιοποιώντας παραβιασμένους κεντρικούς υπολογιστές για να παρέχουν δυνατότητες επίθεσης σε πελάτες που πληρώνουν.
The Bigger Picture: Mirai's Lingering Threat
Η αναζωπύρωση των απειλών που βασίζονται στο Mirai, όπως το Aquabot, υπογραμμίζει τους συνεχείς κινδύνους που συνδέονται με τις συσκευές που είναι συνδεδεμένες στο Διαδίκτυο. Πολλές από αυτές τις συσκευές υποφέρουν από ανεπαρκή ασφάλεια, απαρχαιωμένο λογισμικό ή προεπιλεγμένα διαπιστευτήρια, γεγονός που τις καθιστά εύκολους στόχους για εκμετάλλευση.
Μια παραπλανητική αιτιολόγηση από τους επιτιθέμενους
Οι φορείς απειλών συχνά ισχυρίζονται ότι οι λειτουργίες τους στο botnet είναι καθαρά για δοκιμαστικούς ή εκπαιδευτικούς σκοπούς, προσπαθώντας να παραπλανήσουν τους ερευνητές και τις αρχές επιβολής του νόμου. Ωστόσο, η περαιτέρω ανάλυση αποκαλύπτει συχνά τις πραγματικές τους προθέσεις — προσφέροντας υπηρεσίες DDoS ή καυχιούνται ανοιχτά για τις δραστηριότητές τους στο botnet σε υπόγεια φόρουμ και κανάλια Telegram.
