Aquabot Botnet
En Mirai-basert botnett-variant, kjent som Aquabot, har blitt oppdaget som aktivt forsøker å utnytte en sikkerhetsfeil som påvirker Mitel-telefoner. Angriperne tar sikte på å integrere disse enhetene i et botnett som er i stand til å starte DDoS-angrep (Distributed Denial-of-Service).
Innholdsfortegnelse
Sårbarheten i fokus: CVE-2024-41710
Den målrettede sikkerhetsfeilen, CVE-2024-41710, har en CVSS-score på 6,8 og stammer fra en kommandoinjeksjonssårbarhet i oppstartsprosessen. Denne feilen kan tillate angripere å utføre vilkårlige kommandoer innenfor telefonens driftsmiljø.
Berørte enheter og oppdateringsdetaljer
Sårbarheten påvirker flere Mitel-telefonmodeller, inkludert 6800-serien, 6900-serien, 6900w-serien SIP-telefoner og 6970-konferanseenheten. Mitel tok opp problemet i juli 2024, men en proof-of-concept (PoC)-utnyttelse ble offentlig tilgjengelig i august, noe som potensielt åpnet døren for trusselaktører.
Mer enn én sårbarhet i spill
Utover CVE-2024-41710 har Aquabot blitt observert målrettet mot ytterligere sårbarheter, inkludert CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 og CVE-2023-2023. Botnettet har også forsøkt å utnytte en ekstern kodeutførelsesfeil i Linksys E-series-enheter, noe som indikerer en bred angrepsoverflate.
Aquabot: Et Mirai-basert botnett med en historie
Aquabot er et botnett avledet fra det beryktede Mirai -rammeverket, designet eksplisitt for å utføre DDoS-angrep. Forskere har fulgt aktiviteten siden november 2023, med bevis på kontinuerlig utvikling.
Utnyttelse av feilen: angrepsmekanisme
De første tegnene på aktiv utnyttelse mot CVE-2024-41710 dukket opp tidlig i januar 2025. Angripere distribuerer botnett-skadevare ved å kjøre et shell-skript, som henter den truende nyttelasten ved å bruke 'wget'-kommandoen. Angrepsmetoden ligner mye på den offentlig tilgjengelige PoC-utnyttelsen.
En stealthiere og mer avansert variant
Aquabot-varianten som er involvert i disse angrepene ser ut til å være den tredje iterasjonen av skadelig programvare. Den introduserer en ny 'report_kill'-funksjon, som rapporterer tilbake til Command-and-Control-serveren (C2) hver gang botnett-prosessen avsluttes. Det er imidlertid ingen bevis for at denne funksjonen utløser noen umiddelbar respons fra serveren.
I tillegg forkledd den nye varianten seg som 'httpd.x86' for å unngå deteksjon og er programmert til å avslutte spesifikke prosesser, for eksempel lokale skall. Disse forbedringene antyder forsøk på å gjøre Aquabot mer unnvikende og potensielt oppdage konkurrerende botnett-aktivitet.
Selger tilgang: Den underjordiske DDoS-for-Hire-operasjonen
Tegn peker på trusselaktørene bak Aquabot som tilbyr botnettet sitt som en DDoS-tjeneste på Telegram. De opererer under aliaser som Cursinq Firewall, The Eye Services og The Eye Botnet, og utnytter kompromitterte verter for å tilby angrepsmuligheter til betalende kunder.
The Bigger Picture: Mirai's Lingering Threat
Gjenoppblomstringen av Mirai-baserte trusler som Aquabot fremhever den fortsatte risikoen forbundet med Internett-tilkoblede enheter. Mange av disse enhetene lider av utilstrekkelig sikkerhet, utdatert programvare eller standardlegitimasjon, noe som gjør dem til enkle mål for utnyttelse.
En villedende begrunnelse fra angripere
Trusselaktører hevder ofte at botnett-operasjonene deres utelukkende er for test- eller utdanningsformål, og forsøker å villede forskere og rettshåndhevelse. Videre analyse avslører imidlertid ofte deres sanne intensjoner – å tilby DDoS-tjenester eller åpent skryte av deres botnett-aktiviteter i underjordiske fora og Telegram-kanaler.
