Aquabot Botnet
Buvo aptiktas „Mirai“ pagrindu sukurtas botneto variantas, žinomas kaip „Aquabot“, kuris aktyviai bando išnaudoti „Mitel“ telefonų saugos trūkumą. Užpuolikai siekia integruoti šiuos įrenginius į robotų tinklą, galintį paleisti paskirstytojo paslaugų atsisakymo (DDoS) atakas.
Turinys
Pagrindinis pažeidžiamumas: CVE-2024-41710
Tikslinė saugos klaida CVE-2024-41710 turi 6,8 CVSS balą ir atsiranda dėl komandų įvedimo pažeidžiamumo įkrovos procese. Ši klaida gali leisti užpuolikams vykdyti savavališkas komandas telefono veikimo aplinkoje.
Paveikti įrenginiai ir pataisų informacija
Pažeidžiamumas paveikia kelis „Mitel“ telefonų modelius, įskaitant 6800 serijos, 6900 serijos, 6900w serijos SIP telefonus ir 6970 konferencijų bloką. „Mitel“ šią problemą išsprendė 2024 m. liepos mėn., tačiau rugpjūtį viešai pasirodė koncepcijos įrodymo (PoC) išnaudojimas, galintis atverti duris grėsmės veikėjams.
Daugiau nei vienas „Play“ pažeidžiamumas
Buvo pastebėta, kad ne tik CVE-2024-41710, bet ir Aquabot, taikantis į papildomus pažeidžiamumus, įskaitant CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 ir CVE-6023. Botnetas taip pat bandė išnaudoti nuotolinio kodo vykdymo trūkumą „Linksys“ E serijos įrenginiuose, o tai rodo platų atakos paviršių.
„Aquabot“: „Mirai“ pagrįstas robotų tinklas su istorija
„Aquabot“ yra robotų tinklas, sukurtas iš liūdnai pagarsėjusios „Mirai“ sistemos, sukurtas specialiai DDoS atakoms vykdyti. Tyrėjai stebėjo jo veiklą nuo 2023 m. lapkričio mėn., nes įrodė nuolatinės evoliucijos įrodymai.
Trūkumas: puolimo mechanizmas
Pirmieji aktyvaus CVE-2024-41710 išnaudojimo požymiai išryškėjo 2025 m. sausio pradžioje. Užpuolikai dislokuoja botneto kenkėjišką programą vykdydami apvalkalo scenarijų, kuris nuskaito grėsmingą naudingą apkrovą naudodamas komandą „wget“. Atakos metodas labai panašus į viešai prieinamą PoC išnaudojimą.
Slaptesnis ir pažangesnis variantas
Atrodo, kad šiose atakose dalyvaujantis „Aquabot“ variantas yra trečioji kenkėjiškos programos iteracija. Jame pristatoma nauja „report_kill“ funkcija, kuri praneša komandų ir valdymo (C2) serveriui, kai nutraukiamas „botnet“ procesas. Tačiau nėra įrodymų, kad ši funkcija nedelsiant suaktyvintų serverio atsaką.
Be to, naujasis variantas užmaskuojamas kaip „httpd.x86“, kad būtų išvengta aptikimo, ir yra užprogramuotas nutraukti konkrečius procesus, pvz., vietinius apvalkalus. Šie patobulinimai rodo pastangas, kad „Aquabot“ būtų labiau išvengiama ir galimai aptiktų konkuruojančią „botnet“ veiklą.
Parduodama prieiga: požeminė DDoS nuomojama operacija
Ženklai rodo, kad „Aquabot“ grėsmės veikėjai siūlo savo robotų tinklą kaip DDoS paslaugą „Telegram“. Jie veikia slapyvardžiais, tokiais kaip Cursinq Firewall, The Eye Services ir The Eye Botnet, panaudodami pažeistus pagrindinius kompiuterius, kad suteiktų atakų galimybes mokantiems klientams.
Didesnis paveikslas: Mirai besitęsianti grėsmė
„Mirai“ grėsmių, tokių kaip „Aquabot“, atgimimas pabrėžia nuolatinę riziką, susijusią su prie interneto prijungtais įrenginiais. Daugelis šių įrenginių kenčia dėl netinkamos saugos, pasenusios programinės įrangos arba numatytųjų kredencialų, todėl juos lengva išnaudoti.
Klaidinantis užpuolikų pasiteisinimas
Grėsmių subjektai dažnai tvirtina, kad jų botnetų operacijos yra skirtos tik bandymams ar švietimo tikslams, bandant suklaidinti tyrėjus ir teisėsaugą. Tačiau tolesnė analizė dažnai atskleidžia tikruosius jų ketinimus – siūlyti DDoS paslaugas arba atvirai girtis savo botneto veikla pogrindiniuose forumuose ir „Telegram“ kanaluose.
