Aquabot botnet
Egy Mirai-alapú botnet-változatot, az Aquabotot észleltek, amely aktívan megpróbálja kihasználni a Mitel telefonokat érintő biztonsági hibát. A támadók célja, hogy ezeket az eszközöket egy olyan botnetbe integrálják, amely képes elosztott szolgáltatásmegtagadási (DDoS) támadásokat indítani.
Tartalomjegyzék
A sebezhetőség fókuszban: CVE-2024-41710
A megcélzott biztonsági hiba, a CVE-2024-41710, 6,8-as CVSS-pontszámmal rendelkezik, és a rendszerindítási folyamatban lévő parancsbefecskendezési sebezhetőségből ered. Ez a hiba lehetővé teheti a támadók számára, hogy tetszőleges parancsokat hajtsanak végre a telefon működési környezetében.
Érintett eszközök és javítások részletei
A sérülékenység több Mitel telefonmodellt érint, köztük a 6800-as sorozatú, a 6900-as sorozatú, a 6900w-as sorozatú SIP-telefonokat és a 6970-es konferenciaegységet. A Mitel 2024 júliusában foglalkozott a témával, de augusztusban nyilvánosan elérhetővé vált egy proof-of-concept (PoC) kizsákmányolás, amely potenciálisan megnyitotta az ajtót a fenyegetés szereplői előtt.
Egynél több sebezhetőség a Playen
A CVE-2024-41710 mellett az Aquabot további sebezhetőségeket céloz meg, köztük a CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 és CVE-2021. A botnet a Linksys E-sorozatú eszközök távoli kódvégrehajtási hibáját is megpróbálta kihasználni, ami széles támadási felületre utal.
Aquabot: Egy Mirai-alapú botnet történelemmel
Az Aquabot a hírhedt Mirai keretrendszerből származó botnet, amelyet kifejezetten DDoS támadások végrehajtására terveztek. A kutatók 2023 novembere óta nyomon követik tevékenységét, a folyamatos fejlődés bizonyítékaival.
A hiba kihasználása: támadási mechanizmus
A CVE-2024-41710 elleni aktív kihasználás első jelei 2025. január elején jelentek meg. A támadók a botnet rosszindulatú programját egy shell-szkript végrehajtásával telepítik, amely a „wget” paranccsal visszakeresi a fenyegető rakományt. A támadási módszer nagyon hasonlít a nyilvánosan elérhető PoC exploithoz.
Lopakodóbb és fejlettebb változat
Úgy tűnik, hogy a támadásokban érintett Aquabot változat a kártevő harmadik iterációja. Bevezet egy új „report_kill” funkciót, amely minden alkalommal jelentést küld a Command-and-Control (C2) szervernek, amikor a botnet folyamat leáll. Azonban nincs bizonyíték arra, hogy ez a funkció azonnali választ váltana ki a szervertől.
Ezenkívül az új változat „httpd.x86”-nak álcázza magát, hogy elkerülje az észlelést, és úgy van programozva, hogy leállítson bizonyos folyamatokat, például a helyi shelleket. Ezek a finomítások arra utalnak, hogy az Aquabot kitérőbbé tegyék, és potenciálisan észleljék a versengő botnet-tevékenységeket.
Hozzáférés értékesítése: A földalatti DDoS bérelhető művelet
A jelek arra utalnak, hogy az Aquabot mögött fenyegető szereplők DDoS-szolgáltatásként kínálják botneteiket a Telegramon. Olyan álnevek alatt működnek, mint a Cursinq Firewall, The Eye Services és The Eye Botnet, kihasználva a kompromittált gazdagépeket, hogy támadási lehetőségeket biztosítsanak a fizető ügyfelek számára.
A nagyobb kép: Mirai elhúzódó fenyegetése
A Mirai-alapú fenyegetések, például az Aquabot újjáéledése rávilágít az internethez kapcsolódó eszközökkel kapcsolatos folyamatos kockázatokra. Ezen eszközök közül sok nem megfelelő biztonság, elavult szoftver vagy alapértelmezett hitelesítő adatok miatt szenved, így könnyen kiaknázható célpontok.
Félrevezető indoklás a támadóktól
A fenyegetés szereplői gyakran állítják, hogy botnet-műveleteik kizárólag tesztelési vagy oktatási célokat szolgálnak, megkísérelve félrevezetni a kutatókat és a bűnüldözést. A további elemzések azonban gyakran felfedik valódi szándékaikat – DDoS-szolgáltatásokat kínálnak, vagy nyíltan kérkednek botnet-tevékenységükkel földalatti fórumokon és távirati csatornákon.
