بات نت Aquabot
یک نوع بات نت مبتنی بر Mirai که به نام Aquabot شناخته می شود، شناسایی شده است که به طور فعال تلاش می کند از یک نقص امنیتی که بر تلفن های Mitel تأثیر می گذارد سوء استفاده کند. هدف مهاجمان ادغام این دستگاه ها در یک بات نت با قابلیت راه اندازی حملات انکار سرویس توزیع شده (DDoS) است.
فهرست مطالب
آسیب پذیری در فوکوس: CVE-2024-41710
نقص امنیتی هدفمند، CVE-2024-41710، دارای امتیاز CVSS 6.8 است و از آسیبپذیری تزریق فرمان در فرآیند بوت نشات میگیرد. این نقص ممکن است به مهاجمان اجازه دهد تا دستورات دلخواه را در محیط عملکرد تلفن اجرا کنند.
دستگاه های تحت تأثیر و جزئیات وصله
این آسیب پذیری چندین مدل تلفن میتل از جمله سری 6800، سری 6900، تلفن های SIP سری 6900w و واحد کنفرانس 6970 را تحت تاثیر قرار می دهد. Mitel در جولای 2024 به این موضوع پرداخت، اما یک سوء استفاده اثبات مفهوم (PoC) در ماه آگوست در دسترس عموم قرار گرفت و به طور بالقوه راه را برای عوامل تهدید باز کرد.
بیش از یک آسیب پذیری در Play
فراتر از CVE-2024-41710، Aquabot آسیبپذیریهای اضافی از جمله CVE-2018-10561، CVE-2018-10562، CVE-2018-17532، CVE-2022-31137، و CVE-2022-31137 و CVE-20 را هدف قرار داده است. این بات نت همچنین سعی کرده است از نقص اجرای کد از راه دور در دستگاه های Linksys E-series سوء استفاده کند که نشان دهنده سطح حمله گسترده است.
Aquabot: یک بات نت مبتنی بر Mirai با تاریخچه
Aquabot یک بات نت برگرفته از چارچوب بدنام Mirai است که به صراحت برای اجرای حملات DDoS طراحی شده است. محققان از نوامبر 2023 فعالیت آن را با شواهدی از تکامل مداوم دنبال می کنند.
بهره برداری از نقص: مکانیسم حمله
اولین نشانههای بهرهبرداری فعال علیه CVE-2024-41710 در اوایل ژانویه 2025 ظاهر شد. مهاجمان بدافزار باتنت را با اجرای یک اسکریپت پوسته، که بار تهدیدکننده را با استفاده از دستور 'wget' بازیابی میکند، مستقر میکنند. روش حمله شباهت زیادی به سوء استفاده عمومی PoC دارد.
یک نوع پنهان تر و پیشرفته تر
به نظر می رسد نوع Aquabot درگیر در این حملات، سومین تکرار این بدافزار باشد. این یک تابع جدید 'report_kill' معرفی میکند که هر زمان که فرآیند باتنت پایان مییابد، به سرور Command-and-Control (C2) گزارش میدهد. با این حال، هیچ مدرکی مبنی بر اینکه این عملکرد هر گونه پاسخ فوری از سرور را تحریک کند وجود ندارد.
علاوه بر این، نوع جدید برای جلوگیری از شناسایی، خود را به عنوان 'httpd.x86' پنهان می کند و برای پایان دادن به فرآیندهای خاص، مانند پوسته های محلی، برنامه ریزی شده است. این اصلاحات نشان میدهد که تلاشهایی برای فراریتر کردن Aquabot و شناسایی بالقوه فعالیت باتنتهای رقیب انجام میشود.
دسترسی فروش: عملیات زیرزمینی DDoS-for-Hire
نشانهها حاکی از آن است که عاملان تهدید پشت Aquabot که باتنت خود را به عنوان یک سرویس DDoS در تلگرام ارائه میکنند. آنها تحت نام مستعارهایی مانند Cursinq Firewall، The Eye Services و The Eye Botnet کار می کنند و از میزبان های در معرض خطر برای ارائه قابلیت های حمله به مشتریان پولی استفاده می کنند.
تصویر بزرگتر: تهدید طولانی میرای
تجدید حیات تهدیدات مبتنی بر Mirai مانند Aquabot خطرات مداوم مرتبط با دستگاه های متصل به اینترنت را برجسته می کند. بسیاری از این دستگاهها از امنیت ناکافی، نرمافزار قدیمی یا اعتبار پیشفرض رنج میبرند که آنها را به اهداف آسانی برای بهرهبرداری تبدیل میکند.
توجیه گمراه کننده از سوی مهاجمان
عوامل تهدید اغلب ادعا می کنند که عملیات بات نت آنها صرفاً برای اهداف آزمایشی یا آموزشی است و سعی در گمراه کردن محققان و مجریان قانون دارد. با این حال، تجزیه و تحلیل بیشتر اغلب مقاصد واقعی آنها را نشان می دهد - ارائه خدمات DDoS یا آشکارا درباره فعالیت های بات نت خود در انجمن های زیرزمینی و کانال های تلگرام لاف زدن.
