Aquabot Botnet
È stata rilevata una variante di botnet basata su Mirai, nota come Aquabot, che tenta attivamente di sfruttare una falla di sicurezza che colpisce i telefoni Mitel. Gli aggressori mirano a integrare questi dispositivi in una botnet in grado di lanciare attacchi Distributed Denial-of-Service (DDoS).
Sommario
La vulnerabilità in primo piano: CVE-2024-41710
La falla di sicurezza mirata, CVE-2024-41710, ha un punteggio CVSS di 6,8 e deriva da una vulnerabilità di iniezione di comandi nel processo di avvio. Questa falla potrebbe consentire agli aggressori di eseguire comandi arbitrari all'interno dell'ambiente operativo del telefono.
Dispositivi interessati e dettagli della patch
La vulnerabilità ha un impatto su più modelli di telefono Mitel, tra cui i telefoni SIP serie 6800, 6900, 6900w e l'unità per conferenze 6970. Mitel ha affrontato il problema a luglio 2024, ma un exploit proof-of-concept (PoC) è diventato disponibile al pubblico ad agosto, aprendo potenzialmente la porta agli autori delle minacce.
Più di una vulnerabilità nel gioco
Oltre a CVE-2024-41710, Aquabot è stato osservato mentre prendeva di mira ulteriori vulnerabilità, tra cui CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 e CVE-2023-26801. La botnet ha anche tentato di sfruttare un difetto di esecuzione di codice remoto nei dispositivi Linksys serie E, indicando un'ampia superficie di attacco.
Aquabot: una botnet basata su Mirai con una storia
Aquabot è una botnet derivata dal famigerato framework Mirai , progettata esplicitamente per eseguire attacchi DDoS. I ricercatori ne hanno monitorato l'attività da novembre 2023, con prove di continua evoluzione.
Sfruttare il difetto: meccanismo di attacco
I primi segnali di sfruttamento attivo contro CVE-2024-41710 sono emersi all'inizio di gennaio 2025. Gli aggressori distribuiscono il malware botnet eseguendo uno script shell, che recupera il payload minaccioso utilizzando il comando 'wget'. Il metodo di attacco assomiglia molto all'exploit PoC disponibile al pubblico.
Una variante più furtiva e avanzata
La variante Aquabot coinvolta in questi attacchi sembra essere la terza iterazione del malware. Introduce una nuova funzione 'report_kill', che invia un rapporto al server Command-and-Control (C2) ogni volta che il processo botnet viene terminato. Tuttavia, non ci sono prove che questa funzione inneschi una risposta immediata dal server.
Inoltre, la nuova variante si camuffa da "httpd.x86" per evitare di essere rilevata ed è programmata per terminare processi specifici, come le shell locali. Questi perfezionamenti suggeriscono sforzi per rendere Aquabot più evasivo e potenzialmente rilevare l'attività di botnet concorrente.
Vendere l’accesso: l’operazione sotterranea DDoS-for-Hire
I segnali puntano agli attori della minaccia dietro Aquabot che offrono la loro botnet come servizio DDoS su Telegram. Operano sotto alias come Cursinq Firewall, The Eye Services e The Eye Botnet, sfruttando host compromessi per fornire capacità di attacco ai clienti paganti.
Il quadro generale: la minaccia persistente di Mirai
La rinascita di minacce basate su Mirai come Aquabot evidenzia i rischi continui associati ai dispositivi connessi a Internet. Molti di questi dispositivi soffrono di sicurezza inadeguata, software obsoleti o credenziali predefinite, rendendoli facili bersagli per lo sfruttamento.
Una giustificazione fuorviante da parte degli aggressori
Gli attori delle minacce spesso affermano che le loro operazioni botnet sono puramente a scopo di test o educativo, nel tentativo di fuorviare ricercatori e forze dell'ordine. Tuttavia, analisi più approfondite rivelano spesso le loro vere intenzioni: offrire servizi DDoS o vantarsi apertamente delle loro attività botnet in forum underground e canali Telegram.
