Aquabot Botnet
Varijanta botneta temeljena na Miraiju, poznata kao Aquabot, otkrivena je u aktivnom pokušaju iskorištavanja sigurnosne greške koja utječe na telefone Mitel. Napadači imaju za cilj integrirati ove uređaje u botnet koji može pokrenuti napade Distributed Denial-of-Service (DDoS).
Sadržaj
Ranjivost u fokusu: CVE-2024-41710
Ciljani sigurnosni propust, CVE-2024-41710, nosi CVSS ocjenu 6,8 i proizlazi iz ranjivosti ubacivanja naredbe u procesu pokretanja sustava. Ovaj nedostatak može dopustiti napadačima da izvrše proizvoljne naredbe unutar operativnog okruženja telefona.
Zahvaćeni uređaji i pojedinosti o zakrpi
Ranjivost utječe na više modela Mitel telefona, uključujući SIP telefone serije 6800, serije 6900, serije 6900w i konferencijsku jedinicu 6970. Mitel se pozabavio tim problemom u srpnju 2024., ali je dokaz koncepta (PoC) exploit postao javno dostupan u kolovozu, potencijalno otvarajući vrata akterima prijetnji.
Više od jedne ranjivosti u igri
Osim CVE-2024-41710, primijećeno je da Aquabot cilja na dodatne ranjivosti, uključujući CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 i CVE-2023-26801. Botnet je također pokušao iskoristiti grešku u daljinskom izvršavanju koda u uređajima Linksys serije E, što ukazuje na široku površinu napada.
Aquabot: Botnet temeljen na Miraiju s poviješću
Aquabot je botnet izveden iz zloglasnog okvira Mirai , dizajniran izričito za izvršavanje DDoS napada. Istraživači prate njegovu aktivnost od studenog 2023., s dokazima kontinuirane evolucije.
Iskorištavanje greške: mehanizam napada
Prvi znakovi aktivnog iskorištavanja CVE-2024-41710 pojavili su se početkom siječnja 2025. Napadači postavljaju zlonamjerni softver botneta izvršavanjem skripte ljuske, koja dohvaća prijeteći sadržaj pomoću naredbe 'wget'. Metoda napada vrlo je slična javno dostupnom PoC exploit-u.
Nevidljivija i naprednija varijanta
Čini se da je varijanta Aquabota uključena u ove napade treća iteracija zlonamjernog softvera. Uvodi novu funkciju 'report_kill', koja javlja poslužitelju Command-and-Control (C2) kad god se proces botneta prekine. Međutim, nema dokaza da ova funkcija pokreće bilo kakav trenutni odgovor poslužitelja.
Osim toga, nova se varijanta prerušava kao 'httpd.x86' kako bi se izbjeglo otkrivanje i programirana je da prekine specifične procese, kao što su lokalne ljuske. Ova poboljšanja upućuju na nastojanja da se Aquabot učini izbjegavajućim i potencijalno detektira konkurentsku botnet aktivnost.
Prodaja pristupa: podzemni DDoS za unajmljivanje
Znakovi ukazuju na aktere prijetnji koji stoje iza Aquabota koji nudi svoj botnet kao DDoS uslugu na Telegramu. Djeluju pod aliasima kao što su Cursinq Firewall, The Eye Services i The Eye Botnet, iskorištavajući kompromitirana računala za pružanje mogućnosti napada korisnicima koji plaćaju.
Šira slika: Miraijeva dugotrajna prijetnja
Ponovno oživljavanje prijetnji temeljenih na Miraiju kao što je Aquabot naglašava stalne rizike povezane s uređajima povezanim na internet. Mnogi od ovih uređaja pate od neadekvatne sigurnosti, zastarjelog softvera ili zadanih vjerodajnica, što ih čini lakim metama za iskorištavanje.
Obmanjujuće opravdanje napadača
Akteri prijetnji često tvrde da njihove botnet operacije služe isključivo za testiranje ili obrazovne svrhe, pokušavajući zavesti istraživače i organe za provođenje zakona. Međutim, daljnje analize često otkrivaju njihove prave namjere — nuđenje DDoS usluga ili otvoreno hvalisanje svojim botnet aktivnostima na podzemnim forumima i Telegram kanalima.
