Aquabot Botnet

मिरेईमा आधारित बोटनेट भेरियन्ट, जसलाई एक्वाबोट भनेर चिनिन्छ, मिटेल फोनहरूलाई असर गर्ने सुरक्षा त्रुटिको सक्रिय रूपमा फाइदा उठाउने प्रयास गरिरहेको पत्ता लागेको छ। आक्रमणकारीहरूले यी उपकरणहरूलाई डिस्ट्रिब्युटेड डिनायल-अफ-सर्भिस (DDoS) आक्रमणहरू सुरु गर्न सक्षम बोटनेटमा एकीकृत गर्ने लक्ष्य राखेका छन्।

केन्द्रमा रहेको जोखिम: CVE-2024-41710

लक्षित सुरक्षा त्रुटि, CVE-2024-41710, को CVSS स्कोर ६.८ छ र यो बुट प्रक्रियामा कमाण्ड इन्जेक्सन कमजोरीबाट उत्पन्न हुन्छ। यो त्रुटिले आक्रमणकारीहरूलाई फोनको अपरेटिङ वातावरण भित्र मनमानी आदेशहरू कार्यान्वयन गर्न अनुमति दिन सक्छ।

प्रभावित उपकरणहरू र प्याच विवरणहरू

यो जोखिमले ६८०० सिरिज, ६९०० सिरिज, ६९०० डब्लु सिरिज एसआईपी फोन र ६९७० कन्फरेन्स युनिट सहित धेरै मिटेल फोन मोडेलहरूलाई असर गर्छ। मिटेलले जुलाई २०२४ मा यो मुद्दालाई सम्बोधन गरेको थियो, तर अगस्टमा प्रमाण-अफ-कन्सेप्ट (पीओसी) शोषण सार्वजनिक रूपमा उपलब्ध भयो, जसले सम्भावित रूपमा खतरा अभिनेताहरूको लागि ढोका खोल्यो।

खेलमा एक भन्दा बढी जोखिम

CVE-2024-41710 भन्दा बाहिर, Aquabot ले CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137, र CVE-2023-26801 सहित थप कमजोरीहरूलाई लक्षित गरेको अवलोकन गरिएको छ। बोटनेटले Linksys E-श्रृंखला उपकरणहरूमा रिमोट कोड कार्यान्वयन त्रुटिको शोषण गर्ने प्रयास पनि गरेको छ, जसले फराकिलो आक्रमण सतहलाई संकेत गर्दछ।

एक्वाबोट: इतिहास भएको मिराई-आधारित बोटनेट

एक्वाबोट कुख्यात मिराई फ्रेमवर्कबाट लिइएको बोटनेट हो, जुन DDoS आक्रमणहरू कार्यान्वयन गर्न स्पष्ट रूपमा डिजाइन गरिएको हो। अनुसन्धानकर्ताहरूले नोभेम्बर २०२३ देखि यसको गतिविधि ट्र्याक गर्दै आएका छन्, निरन्तर विकासको प्रमाणका साथ।

कमजोरीको शोषण: आक्रमण संयन्त्र

CVE-2024-41710 विरुद्ध सक्रिय शोषणको पहिलो संकेत जनवरी २०२५ को सुरुमा देखा पर्‍यो। आक्रमणकारीहरूले शेल स्क्रिप्ट कार्यान्वयन गरेर बोटनेट मालवेयर तैनाथ गर्छन्, जसले 'wget' आदेश प्रयोग गरेर धम्कीपूर्ण पेलोड पुन: प्राप्त गर्दछ। आक्रमण विधि सार्वजनिक रूपमा उपलब्ध PoC शोषणसँग मिल्दोजुल्दो छ।

एउटा गोप्य र अझ उन्नत संस्करण

यी आक्रमणहरूमा संलग्न एक्वाबोट भेरियन्ट मालवेयरको तेस्रो पुनरावृत्ति जस्तो देखिन्छ। यसले एउटा नयाँ 'रिपोर्ट_किल' प्रकार्य प्रस्तुत गर्दछ, जसले बोटनेट प्रक्रिया समाप्त हुँदा कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरमा रिपोर्ट गर्दछ। यद्यपि, यो प्रकार्यले सर्भरबाट कुनै तत्काल प्रतिक्रिया ट्रिगर गर्छ भन्ने कुनै प्रमाण छैन।

यसको अतिरिक्त, नयाँ भेरियन्टले पत्ता लगाउनबाट बच्नको लागि 'httpd.x86' को रूपमा आफूलाई भेष दिन्छ र स्थानीय शेलहरू जस्ता विशिष्ट प्रक्रियाहरू समाप्त गर्न प्रोग्राम गरिएको छ। यी परिष्करणहरूले Aquabot लाई अझ बढी छलकपट गर्ने र सम्भावित रूपमा प्रतिस्पर्धी बोटनेट गतिविधि पत्ता लगाउने प्रयासहरूको सुझाव दिन्छ।

बिक्री पहुँच: भूमिगत DDoS-for-Hire सञ्चालन

टेलिग्राममा DDoS सेवाको रूपमा आफ्नो बोटनेट प्रस्ताव गर्ने एक्वाबोटको पछाडि खतरा अभिनेताहरू रहेको संकेतहरूले देखाउँछन्। तिनीहरू Cursinq Firewall, The Eye Services, र The Eye Botnet जस्ता उपनामहरू अन्तर्गत सञ्चालन हुन्छन्, भुक्तानी गर्ने ग्राहकहरूलाई आक्रमण क्षमताहरू प्रदान गर्न सम्झौता गरिएका होस्टहरूको लाभ उठाउँदै।

ठूलो तस्वीर: मिराईको ढिलो खतरा

Aquabot जस्ता Mirai-आधारित खतराहरूको पुनरुत्थानले इन्टरनेट-जडित उपकरणहरूसँग सम्बन्धित निरन्तर जोखिमहरूलाई प्रकाश पार्छ। यी मध्ये धेरै उपकरणहरू अपर्याप्त सुरक्षा, पुरानो सफ्टवेयर, वा पूर्वनिर्धारित प्रमाणहरूबाट ग्रस्त छन्, जसले गर्दा तिनीहरूलाई शोषणको लागि सजिलो लक्ष्य बनाउँछ।

आक्रमणकारीहरूबाट भ्रामक तर्क

धम्की दिने कलाकारहरूले प्रायः आफ्नो बोटनेट सञ्चालनहरू परीक्षण वा शैक्षिक उद्देश्यका लागि मात्र भएको दाबी गर्छन्, अनुसन्धानकर्ताहरू र कानून प्रवर्तनलाई भ्रमित गर्ने प्रयास गर्छन्। यद्यपि, थप विश्लेषणले बारम्बार तिनीहरूको वास्तविक मनसाय प्रकट गर्दछ - DDoS सेवाहरू प्रदान गर्ने वा भूमिगत फोरमहरू र टेलिग्राम च्यानलहरूमा आफ्नो बोटनेट गतिविधिहरूको बारेमा खुलेआम घमण्ड गर्ने।