Aquabot Botnet
Varian botnet berasaskan Mirai, dikenali sebagai Aquabot, telah dikesan secara aktif cuba mengeksploitasi kecacatan keselamatan yang menjejaskan telefon Mitel. Penyerang bertujuan untuk menyepadukan peranti ini ke dalam botnet yang mampu melancarkan serangan Penafian Perkhidmatan (DDoS) Teragih.
Isi kandungan
Kerentanan dalam Fokus: CVE-2024-41710
Cacat keselamatan yang disasarkan, CVE-2024-41710, membawa skor CVSS 6.8 dan berpunca daripada kelemahan suntikan arahan dalam proses but. Cacat ini mungkin membenarkan penyerang untuk melaksanakan arahan sewenang-wenangnya dalam persekitaran operasi telefon.
Peranti Terjejas dan Butiran Patch
Kerentanan memberi kesan kepada berbilang model telefon Mitel, termasuk Siri 6800, Siri 6900, Telefon SIP Siri 6900w dan Unit Persidangan 6970. Mitel menangani isu itu pada Julai 2024, tetapi eksploitasi bukti konsep (PoC) tersedia secara terbuka pada bulan Ogos, yang berpotensi membuka pintu kepada pelakon ancaman.
Lebih daripada Satu Kerentanan dalam Main
Di luar CVE-2024-41710, Aquabot telah diperhatikan menyasarkan kerentanan tambahan, termasuk CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 dan CVE-2601. Botnet juga telah cuba mengeksploitasi kecacatan pelaksanaan kod jauh dalam peranti E-siri Linksys, yang menunjukkan permukaan serangan yang luas.
Aquabot: Botnet Berasaskan Mirai dengan Sejarah
Aquabot ialah botnet yang diperoleh daripada rangka kerja Mirai yang terkenal, direka secara eksplisit untuk melaksanakan serangan DDoS. Penyelidik telah menjejaki aktivitinya sejak November 2023, dengan bukti evolusi berterusan.
Memanfaatkan Kepincangan: Mekanisme Serangan
Tanda-tanda pertama eksploitasi aktif terhadap CVE-2024-41710 muncul pada awal Januari 2025. Penyerang menggunakan perisian hasad botnet dengan melaksanakan skrip shell, yang mendapatkan semula muatan mengancam menggunakan arahan 'wget'. Kaedah serangan hampir menyerupai eksploitasi PoC yang tersedia secara umum.
Varian Lebih Senyap dan Lebih Lanjutan
Varian Aquabot yang terlibat dalam serangan ini nampaknya merupakan lelaran ketiga perisian hasad. Ia memperkenalkan fungsi 'report_kill' novel, yang melaporkan kembali ke pelayan Command-and-Control (C2) apabila proses botnet ditamatkan. Walau bagaimanapun, tiada bukti bahawa fungsi ini mencetuskan sebarang tindak balas segera daripada pelayan.
Selain itu, varian baharu itu menyamar sebagai 'httpd.x86' untuk mengelakkan pengesanan dan diprogramkan untuk menamatkan proses tertentu, seperti cangkerang tempatan. Penambahbaikan ini mencadangkan usaha untuk menjadikan Aquabot lebih mengelak dan berkemungkinan mengesan aktiviti botnet yang bersaing.
Akses Menjual: Operasi DDoS-untuk-Sewa Bawah Tanah
Tanda menunjukkan pelakon ancaman di sebalik Aquabot yang menawarkan botnet mereka sebagai perkhidmatan DDoS di Telegram. Mereka beroperasi di bawah alias seperti Cursinq Firewall, The Eye Services dan The Eye Botnet, memanfaatkan hos yang terjejas untuk menyediakan keupayaan serangan kepada pelanggan yang membayar.
Gambaran Lebih Besar: Ancaman Mirai yang Berlarutan
Kebangkitan semula ancaman berasaskan Mirai seperti Aquabot menyerlahkan risiko berterusan yang berkaitan dengan peranti yang disambungkan ke Internet. Kebanyakan peranti ini mengalami masalah keselamatan yang tidak mencukupi, perisian lapuk atau kelayakan lalai, menjadikannya sasaran mudah untuk dieksploitasi.
Justifikasi Mengelirukan daripada Penyerang
Aktor ancaman sering mendakwa operasi botnet mereka adalah semata-mata untuk tujuan ujian atau pendidikan, cuba mengelirukan penyelidik dan penguatkuasa undang-undang. Walau bagaimanapun, analisis lanjut sering mendedahkan niat sebenar mereka—menawarkan perkhidmatan DDoS atau secara terbuka bermegah tentang aktiviti botnet mereka dalam forum bawah tanah dan saluran Telegram.
