Aquabot Botnet
Aquabot으로 알려진 Mirai 기반 봇넷 변종이 Mitel 휴대폰에 영향을 미치는 보안 결함을 적극적으로 악용하려는 시도가 감지되었습니다. 공격자는 이러한 장치를 분산 서비스 거부(DDoS) 공격을 시작할 수 있는 봇넷에 통합하는 것을 목표로 합니다.
목차
초점의 취약점: CVE-2024-41710
타겟 보안 결함인 CVE-2024-41710은 CVSS 점수 6.8이며 부팅 프로세스의 명령 주입 취약성에서 비롯됩니다. 이 결함은 공격자가 휴대폰의 운영 환경 내에서 임의의 명령을 실행할 수 있도록 허용할 수 있습니다.
영향을 받는 장치 및 패치 세부 정보
이 취약성은 6800 시리즈, 6900 시리즈, 6900w 시리즈 SIP 전화, 6970 컨퍼런스 유닛을 포함한 여러 Mitel 전화 모델에 영향을 미칩니다. Mitel은 2024년 7월에 이 문제를 해결했지만, 8월에 개념 증명(PoC) 익스플로잇이 공개되어 위협 행위자에게 문을 열 가능성이 있습니다.
플레이에서 하나 이상의 취약점
CVE-2024-41710 외에도 Aquabot은 CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137, CVE-2023-26801을 포함한 추가 취약성을 표적으로 삼는 것으로 관찰되었습니다. 이 봇넷은 또한 Linksys E-시리즈 기기의 원격 코드 실행 결함을 악용하려고 시도했으며, 이는 광범위한 공격 표면을 나타냅니다.
Aquabot: 역사가 있는 Mirai 기반 봇넷
Aquabot은 악명 높은 Mirai 프레임워크에서 파생된 봇넷으로, DDoS 공격을 실행하기 위해 명확하게 설계되었습니다. 연구자들은 2023년 11월부터 이 봇넷의 활동을 추적해 왔으며, 지속적인 진화의 증거가 있습니다.
결함 악용: 공격 메커니즘
CVE-2024-41710에 대한 적극적인 악용의 첫 징후는 2025년 1월 초에 나타났습니다. 공격자는 'wget' 명령을 사용하여 위협적인 페이로드를 검색하는 셸 스크립트를 실행하여 봇넷 맬웨어를 배포합니다. 공격 방법은 공개적으로 사용 가능한 PoC 악용과 매우 유사합니다.
더욱 은밀하고 진보된 변형
이러한 공격에 연루된 Aquabot 변종은 맬웨어의 세 번째 반복인 것으로 보입니다. 봇넷 프로세스가 종료될 때마다 명령 및 제어(C2) 서버에 보고하는 새로운 'report_kill' 기능을 도입합니다. 그러나 이 기능이 서버에서 즉각적인 응답을 트리거한다는 증거는 없습니다.
또한, 새로운 변종은 탐지를 피하기 위해 'httpd.x86'으로 위장하고 로컬 셸과 같은 특정 프로세스를 종료하도록 프로그래밍되어 있습니다. 이러한 개선은 Aquabot을 더욱 회피적으로 만들고 경쟁하는 봇넷 활동을 잠재적으로 탐지하려는 노력을 시사합니다.
액세스 판매: 지하 DDoS 임대 작전
징후는 Aquabot의 배후에 있는 위협 행위자들이 Telegram에서 DDoS 서비스로 봇넷을 제공하고 있음을 보여줍니다. 그들은 Cursinq Firewall, The Eye Services, The Eye Botnet과 같은 별칭으로 운영되며, 손상된 호스트를 활용하여 유료 고객에게 공격 기능을 제공합니다.
더 큰 그림: 미라이의 잔여 위협
Aquabot과 같은 Mirai 기반 위협의 부활은 인터넷 연결 장치와 관련된 지속적인 위험을 강조합니다. 이러한 장치 중 다수는 부적절한 보안, 오래된 소프트웨어 또는 기본 자격 증명으로 인해 악용의 쉬운 대상이 됩니다.
공격자의 오해의 소지가 있는 정당화
위협 행위자들은 종종 그들의 봇넷 작전이 순전히 테스트나 교육적 목적이라고 주장하며 연구원과 법 집행 기관을 오도하려고 시도합니다. 그러나 추가 분석을 통해 그들의 진짜 의도가 자주 드러납니다. 즉, DDoS 서비스를 제공하거나 지하 포럼과 Telegram 채널에서 봇넷 활동을 공개적으로 자랑하는 것입니다.
