Aquabot Botnet
Mirai-pohjainen botnet-versio, joka tunnetaan nimellä Aquabot, on havaittu aktiivisesti yrittävän hyödyntää Mitel-puhelimiin vaikuttavaa tietoturvavirhettä. Hyökkääjät pyrkivät integroimaan nämä laitteet bottiverkkoon, joka pystyy käynnistämään hajautettuja palvelunestohyökkäyksiä (DDoS).
Sisällysluettelo
Haavoittuvuus keskiössä: CVE-2024-41710
Kohdennettu tietoturvavirhe, CVE-2024-41710, saa CVSS-pistemäärän 6,8 ja johtuu käynnistysprosessin komennon lisäyshaavoittuvuudesta. Tämä virhe saattaa antaa hyökkääjille mahdollisuuden suorittaa mielivaltaisia komentoja puhelimen käyttöympäristössä.
Laitteet ja korjaustiedoston tiedot
Haavoittuvuus vaikuttaa useisiin Mitel-puhelinmalleihin, mukaan lukien 6800-, 6900-, 6900w-sarjan SIP-puhelimet ja 6970-konferenssiyksikkö. Mitel käsitteli asiaa heinäkuussa 2024, mutta proof-of-concept (PoC) -hyökkäys tuli julkisesti saataville elokuussa, mikä saattaa avata oven uhkatoimijoille.
Useampi kuin yksi haavoittuvuus Playssa
CVE-2024-41710:n lisäksi Aquabotin on havaittu kohdistuvan muihin haavoittuvuuksiin, kuten CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 ja CVE-6023. Bottiverkko on myös yrittänyt hyödyntää koodin etäsuoritusvirhettä Linksys E-sarjan laitteissa, mikä osoittaa laajan hyökkäyspinnan.
Aquabot: Mirai-pohjainen bottiverkko, jolla on historiaa
Aquabot on pahamaineisesta Mirai -kehyksestä johdettu bottiverkko, joka on suunniteltu nimenomaan DDoS-hyökkäysten suorittamiseen. Tutkijat ovat seuranneet sen toimintaa marraskuusta 2023 lähtien, ja jatkuvasta kehityksestä on saatu näyttöä.
Virheen hyödyntäminen: hyökkäysmekanismi
Ensimmäiset merkit CVE-2024-41710:n aktiivisesta hyväksikäytöstä ilmenivät tammikuun 2025 alussa. Hyökkääjät ottavat käyttöön botnet-haittaohjelman suorittamalla komentosarjan, joka hakee uhkaavan hyötykuorman wget-komennolla. Hyökkäysmenetelmä muistuttaa läheisesti julkisesti saatavilla olevaa PoC:n hyväksikäyttöä.
Hiljaisempi ja edistyneempi versio
Näihin hyökkäyksiin liittyvä Aquabot-variantti näyttää olevan haittaohjelman kolmas iteraatio. Se esittelee uuden 'report_kill'-toiminnon, joka raportoi komento- ja ohjauspalvelimelle (C2) aina, kun botnet-prosessi lopetetaan. Ei kuitenkaan ole näyttöä siitä, että tämä toiminto laukaisi välittömän vastauksen palvelimelta.
Lisäksi uusi variantti naamioituu nimellä "httpd.x86" havaitsemisen välttämiseksi ja on ohjelmoitu lopettamaan tietyt prosessit, kuten paikalliset kuoret. Nämä tarkennukset viittaavat pyrkimyksiin tehdä Aquabotista välttelevämpi ja mahdollisesti havaita kilpaileva botnet-toiminta.
Myyntipääsy: Maanalainen DDoS-vuokraoperaatio
Merkit viittaavat Aquabotin takana oleviin uhkatoimijoihin, jotka tarjoavat botnet-verkkoaan DDoS-palveluna Telegramissa. Ne toimivat aliaksilla, kuten Cursinq Firewall, The Eye Services ja The Eye Botnet, hyödyntäen vaarantuneita isäntiä tarjotakseen hyökkäysominaisuuksia maksaville asiakkaille.
Isompi kuva: Mirain viipyvä uhka
Mirai-pohjaisten uhkien, kuten Aquabotin, ilmaantuminen korostaa Internetiin yhdistettyihin laitteisiin liittyviä jatkuvia riskejä. Monet näistä laitteista kärsivät riittämättömästä suojauksesta, vanhentuneista ohjelmistoista tai oletustunnistetiedoista, mikä tekee niistä helppokäyttöisiä kohteita.
Harhaanjohtava perustelu hyökkääjiltä
Uhkailijat väittävät usein, että heidän botnet-toimintansa ovat puhtaasti testaus- tai koulutustarkoituksiin, yrittäen johtaa tutkijoita ja lainvalvontaviranomaisia harhaan. Lisäanalyysi paljastaa kuitenkin usein heidän todelliset aikeensa – tarjota DDoS-palveluita tai kehua avoimesti botnet-toiminnastaan maanalaisilla foorumeilla ja Telegram-kanavilla.
