Aquabot Botnet
Tuvastati Mirai-põhine botneti variant, tuntud kui Aquabot, mis üritab aktiivselt ära kasutada Miteli telefone mõjutavat turvaviga. Ründajate eesmärk on integreerida need seadmed robotvõrku, mis on võimeline käivitama hajutatud teenuse keelamise (DDoS) rünnakuid.
Sisukord
Fookuses olev haavatavus: CVE-2024-41710
Sihitud turbevea CVE-2024-41710 CVSS-i skoor on 6,8 ja see tuleneb alglaadimisprotsessis olevast käskude sisestamise haavatavusest. See viga võib lubada ründajatel täita suvalisi käske telefoni töökeskkonnas.
Mõjutatud seadmed ja paiga üksikasjad
Haavatavus mõjutab mitut Miteli telefonimudelit, sealhulgas 6800-seeria, 6900-seeria, 6900w-seeria SIP-telefone ja konverentsiüksust 6970. Mitel käsitles seda küsimust 2024. aasta juulis, kuid augustis sai avalikult kättesaadavaks kontseptsiooni tõend (PoC), mis võib avada ukse ohus osalejatele.
Plays rohkem kui üks haavatavus
Peale CVE-2024-41710 on täheldatud, et Aquabot sihib täiendavaid turvaauke, sealhulgas CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 ja CVE-6023. Botivõrk on püüdnud ära kasutada ka Linksys E-seeria seadmete koodi kaugkäivitamise viga, mis viitab laiale rünnakupinnale.
Aquabot: Mirai-põhine ajalooga robotvõrk
Aquabot on kurikuulsast Mirai raamistikust tuletatud robotvõrk, mis on loodud spetsiaalselt DDoS-i rünnakute läbiviimiseks. Teadlased on jälginud selle tegevust alates 2023. aasta novembrist ja on tõendanud pidevat arengut.
Vea ärakasutamine: ründemehhanism
Esimesed märgid CVE-2024-41710 vastase aktiivsest ärakasutamisest ilmnesid 2025. aasta jaanuari alguses. Ründajad juurutavad botneti pahavara, käivitades shelliskripti, mis otsib käsku wget abil kätte ähvardava kasuliku koormuse. Rünnakumeetod sarnaneb väga avalikult kättesaadava PoC ärakasutamisega.
Varglikum ja arenenum variant
Nende rünnakutega seotud Aquaboti variant näib olevat pahavara kolmas iteratsioon. See tutvustab uudset "report_kill" funktsiooni, mis annab aru Command-and-Control (C2) serverile alati, kui robotivõrgu protsess lõpetatakse. Siiski pole tõendeid selle kohta, et see funktsioon käivitaks serverilt kohese vastuse.
Lisaks maskeerib uus variant end tuvastamise vältimiseks kui "httpd.x86" ja on programmeeritud lõpetama konkreetseid protsesse, näiteks kohalikke kestasid. Need täiustused viitavad jõupingutustele muuta Aquabot kõrvalehoidlikumaks ja potentsiaalselt tuvastada konkureerivat robotivõrgu tegevust.
Müüa juurdepääs: maa-alune DDoS-i rendioperatsioon
Märgid viitavad Aquaboti taga olevatele ohus osalejatele, kes pakuvad Telegramis oma robotvõrku DDoS-teenusena. Nad tegutsevad selliste varjunimede all nagu Cursinq Firewall, The Eye Services ja The Eye Botnet, kasutades ära ohustatud hoste, et pakkuda maksvatele klientidele ründevõimalusi.
Suurem pilt: Mirai püsiv oht
Mirai-põhiste ohtude, nagu Aquabot, taastekkimine toob esile jätkuvad riskid, mis on seotud Interneti-ühendusega seadmetega. Paljud neist seadmetest kannatavad ebapiisava turvalisuse, aegunud tarkvara või vaikemandaatide tõttu, mistõttu on neid lihtne kasutada.
Ründajate eksitav põhjendus
Ohutegijad väidavad sageli, et nende botnet-operatsioonid on ainult testimise või harimise eesmärgil, püüdes teadlasi ja õiguskaitseorganiid eksitada. Täiendav analüüs paljastab aga sageli nende tegelikud kavatsused – DDoS-teenuste pakkumine või oma botnetitegevusega avalikult uhkustamine maa-alustes foorumites ja Telegrami kanalites.
