Aquabot Botnet
גרסת בוטנט מבוססת Mirai, הידועה בשם Aquabot, זוהתה בניסיון פעיל לנצל פגם אבטחה המשפיע על טלפונים של Mitel. התוקפים שואפים לשלב את המכשירים הללו ברשת בוט המסוגלת להפעיל התקפות מניעת שירות מבוזרות (DDoS).
תוכן העניינים
הפגיעות במוקד: CVE-2024-41710
ליקוי האבטחה הממוקד, CVE-2024-41710, נושא ציון CVSS של 6.8 ונובע מפגיעות של הזרקת פקודה בתהליך האתחול. פגם זה עשוי לאפשר לתוקפים לבצע פקודות שרירותיות בתוך סביבת ההפעלה של הטלפון.
התקנים מושפעים ופרטי תיקון
הפגיעות משפיעה על דגמי טלפונים מרובים של Mitel, כולל טלפונים מסדרת 6800, 6900, 6900w מסדרת SIP ויחידת ועידות 6970. מיטל התייחסה לבעיה ביולי 2024, אך ניצול של הוכחת מושג (PoC) הפך זמין לציבור באוגוסט, מה שעשוי לפתוח את הדלת בפני שחקני איום.
יותר מפגיעות אחת במשחק
מעבר ל-CVE-2024-41710, Aquabot נצפתה מכוונת לפרצות נוספות, כולל CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 ו-CVE-202013. ה-botnet גם ניסה לנצל פגם בביצוע קוד מרחוק במכשירי Linksys E-series, מה שמעיד על משטח התקפה רחב.
Aquabot: בוטנט מבוסס מיראי עם היסטוריה
Aquabot הוא רשת בוט הנגזרת ממסגרת Mirai הידועה לשמצה, שתוכננה במפורש לביצוע התקפות DDoS. חוקרים עוקבים אחר פעילותו מאז נובמבר 2023, עם עדויות לאבולוציה מתמשכת.
ניצול הפגם: מנגנון התקפה
הסימנים הראשונים לניצול פעיל נגד CVE-2024-41710 הופיעו בתחילת ינואר 2025. תוקפים פורסים את תוכנת הבוטנט על ידי ביצוע סקריפט מעטפת, המאחזר את המטען המאיים באמצעות הפקודה 'wget'. שיטת ההתקפה דומה מאוד לניצול ה-PoC הזמין לציבור.
גרסה חמקנית ומתקדמת יותר
נראה כי גרסת Aquabot המעורבת בהתקפות אלו היא האיטרציה השלישית של התוכנה הזדונית. הוא מציג פונקציית 'report_kill' חדשה, המדווחת חזרה לשרת Command-and-Control (C2) בכל פעם שתהליך ה-botnet מסתיים. עם זאת, אין ראיות לכך שפונקציה זו מפעילה תגובה מיידית כלשהי מהשרת.
בנוסף, הגרסה החדשה מתחפשת ל-'httpd.x86' כדי למנוע זיהוי ומתוכנתת להפסיק תהליכים ספציפיים, כגון קונכיות מקומיות. חידודים אלה מצביעים על מאמצים להפוך את Aquabot לחמקן יותר ועלול לזהות פעילות בוטנט מתחרה.
מכירת גישה: מבצע המחתרת DDoS-for-Hire
סימנים מצביעים על גורמי האיום מאחורי Aquabot שמציעים את הבוטנט שלהם כשירות DDoS בטלגרם. הם פועלים תחת כינויים כמו Cursinq Firewall, The Eye Services ו-The Eye Botnet, וממנפים מארחים שנפגעו כדי לספק יכולות התקפה ללקוחות משלמים.
התמונה הגדולה יותר: האיום המתמשך של מיראי
התעוררותם המחודשת של איומים מבוססי Mirai כמו Aquabot מדגישה את המשך הסיכונים הקשורים למכשירים המחוברים לאינטרנט. רבים מהמכשירים הללו סובלים מאבטחה לא מספקת, תוכנה מיושנת או אישורי ברירת מחדל, מה שהופך אותם למטרות קלות לניצול.
הצדקה מטעה של תוקפים
שחקנים מאיימים טוענים לעתים קרובות שפעולות הבוטנט שלהם מיועדות אך ורק למטרות בדיקה או חינוכיות, ומנסות להטעות חוקרים ורשויות אכיפת החוק. עם זאת, ניתוח נוסף חושף לעתים קרובות את כוונותיהם האמיתיות - להציע שירותי DDoS או להתפאר בגלוי בפעילות הבוטנט שלהם בפורומים מחתרתיים ובערוצי טלגרם.
