Aquabot Botnet

ਇੱਕ Mirai-ਅਧਾਰਤ ਬੋਟਨੈੱਟ ਵੇਰੀਐਂਟ, ਜਿਸਨੂੰ Aquabot ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਨੂੰ Mitel ਫੋਨਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਨ ਵਾਲੀ ਇੱਕ ਸੁਰੱਖਿਆ ਖਾਮੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਦੀ ਸਰਗਰਮੀ ਨਾਲ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਹੋਏ ਪਾਇਆ ਗਿਆ ਹੈ। ਹਮਲਾਵਰਾਂ ਦਾ ਉਦੇਸ਼ ਇਹਨਾਂ ਡਿਵਾਈਸਾਂ ਨੂੰ ਇੱਕ ਬੋਟਨੈੱਟ ਵਿੱਚ ਜੋੜਨਾ ਹੈ ਜੋ ਡਿਸਟ੍ਰੀਬਿਊਟਿਡ ਡੈਨੀਅਲ-ਆਫ-ਸਰਵਿਸ (DDoS) ਹਮਲੇ ਸ਼ੁਰੂ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ।

ਫੋਕਸ ਵਿੱਚ ਕਮਜ਼ੋਰੀ: CVE-2024-41710

ਨਿਸ਼ਾਨਾ ਸੁਰੱਖਿਆ ਨੁਕਸ, CVE-2024-41710, ਦਾ CVSS ਸਕੋਰ 6.8 ਹੈ ਅਤੇ ਇਹ ਬੂਟ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਇੱਕ ਕਮਾਂਡ ਇੰਜੈਕਸ਼ਨ ਕਮਜ਼ੋਰੀ ਤੋਂ ਪੈਦਾ ਹੁੰਦਾ ਹੈ। ਇਹ ਨੁਕਸ ਹਮਲਾਵਰਾਂ ਨੂੰ ਫ਼ੋਨ ਦੇ ਓਪਰੇਟਿੰਗ ਵਾਤਾਵਰਣ ਵਿੱਚ ਮਨਮਾਨੇ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਦੀ ਆਗਿਆ ਦੇ ਸਕਦਾ ਹੈ।

ਪ੍ਰਭਾਵਿਤ ਡਿਵਾਈਸਾਂ ਅਤੇ ਪੈਚ ਵੇਰਵੇ

ਇਹ ਕਮਜ਼ੋਰੀ ਕਈ Mitel ਫੋਨ ਮਾਡਲਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦੀ ਹੈ, ਜਿਸ ਵਿੱਚ 6800 ਸੀਰੀਜ਼, 6900 ਸੀਰੀਜ਼, 6900w ਸੀਰੀਜ਼ SIP ਫੋਨ, ਅਤੇ 6970 ਕਾਨਫਰੰਸ ਯੂਨਿਟ ਸ਼ਾਮਲ ਹਨ। Mitel ਨੇ ਜੁਲਾਈ 2024 ਵਿੱਚ ਇਸ ਮੁੱਦੇ ਨੂੰ ਹੱਲ ਕੀਤਾ ਸੀ, ਪਰ ਇੱਕ ਪਰੂਫ-ਆਫ-ਕੰਸੈਪਟ (PoC) ਸ਼ੋਸ਼ਣ ਅਗਸਤ ਵਿੱਚ ਜਨਤਕ ਤੌਰ 'ਤੇ ਉਪਲਬਧ ਹੋ ਗਿਆ, ਜਿਸ ਨਾਲ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਾਰਕੁਨਾਂ ਲਈ ਦਰਵਾਜ਼ਾ ਖੁੱਲ੍ਹ ਗਿਆ।

ਖੇਡ ਵਿੱਚ ਇੱਕ ਤੋਂ ਵੱਧ ਕਮਜ਼ੋਰੀ

CVE-2024-41710 ਤੋਂ ਇਲਾਵਾ, Aquabot ਨੂੰ ਵਾਧੂ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ, ਜਿਸ ਵਿੱਚ CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137, ਅਤੇ CVE-2023-26801 ਸ਼ਾਮਲ ਹਨ। ਬੋਟਨੈੱਟ ਨੇ Linksys E-ਸੀਰੀਜ਼ ਡਿਵਾਈਸਾਂ ਵਿੱਚ ਇੱਕ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਫਲਾਅ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਦੀ ਵੀ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ ਹੈ, ਜੋ ਇੱਕ ਵਿਸ਼ਾਲ ਹਮਲੇ ਦੀ ਸਤ੍ਹਾ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।

ਐਕਵਾਬੋਟ: ਇਤਿਹਾਸ ਵਾਲਾ ਇੱਕ ਮੀਰਾਈ-ਅਧਾਰਤ ਬੋਟਨੈੱਟ

ਐਕੁਆਬੋਟ ਇੱਕ ਬੋਟਨੈੱਟ ਹੈ ਜੋ ਬਦਨਾਮ ਮਿਰਾਈ ਫਰੇਮਵਰਕ ਤੋਂ ਲਿਆ ਗਿਆ ਹੈ, ਜੋ ਕਿ DDoS ਹਮਲਿਆਂ ਨੂੰ ਅੰਜਾਮ ਦੇਣ ਲਈ ਸਪਸ਼ਟ ਤੌਰ 'ਤੇ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਖੋਜਕਰਤਾ ਨਵੰਬਰ 2023 ਤੋਂ ਇਸਦੀ ਗਤੀਵਿਧੀ ਨੂੰ ਟਰੈਕ ਕਰ ਰਹੇ ਹਨ, ਨਿਰੰਤਰ ਵਿਕਾਸ ਦੇ ਸਬੂਤਾਂ ਦੇ ਨਾਲ।

ਨੁਕਸ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ: ਹਮਲੇ ਦੀ ਵਿਧੀ

CVE-2024-41710 ਦੇ ਵਿਰੁੱਧ ਸਰਗਰਮ ਸ਼ੋਸ਼ਣ ਦੇ ਪਹਿਲੇ ਸੰਕੇਤ ਜਨਵਰੀ 2025 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਸਾਹਮਣੇ ਆਏ। ਹਮਲਾਵਰ ਇੱਕ ਸ਼ੈੱਲ ਸਕ੍ਰਿਪਟ ਚਲਾ ਕੇ ਬੋਟਨੈੱਟ ਮਾਲਵੇਅਰ ਨੂੰ ਤੈਨਾਤ ਕਰਦੇ ਹਨ, ਜੋ 'wget' ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਧਮਕੀ ਭਰੇ ਪੇਲੋਡ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ। ਹਮਲੇ ਦਾ ਤਰੀਕਾ ਜਨਤਕ ਤੌਰ 'ਤੇ ਉਪਲਬਧ PoC ਸ਼ੋਸ਼ਣ ਨਾਲ ਮਿਲਦਾ-ਜੁਲਦਾ ਹੈ।

ਇੱਕ ਸਟੀਲਥੀਅਰ ਅਤੇ ਵਧੇਰੇ ਉੱਨਤ ਰੂਪ

ਇਹਨਾਂ ਹਮਲਿਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਐਕਵਾਬੋਟ ਵੇਰੀਐਂਟ ਮਾਲਵੇਅਰ ਦਾ ਤੀਜਾ ਦੁਹਰਾਅ ਜਾਪਦਾ ਹੈ। ਇਹ ਇੱਕ ਨਵਾਂ 'ਰਿਪੋਰਟ_ਕਿੱਲ' ਫੰਕਸ਼ਨ ਪੇਸ਼ ਕਰਦਾ ਹੈ, ਜੋ ਬੋਟਨੈੱਟ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਖਤਮ ਹੋਣ 'ਤੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨੂੰ ਵਾਪਸ ਰਿਪੋਰਟ ਕਰਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਇਸ ਗੱਲ ਦਾ ਕੋਈ ਸਬੂਤ ਨਹੀਂ ਹੈ ਕਿ ਇਹ ਫੰਕਸ਼ਨ ਸਰਵਰ ਤੋਂ ਕੋਈ ਤੁਰੰਤ ਜਵਾਬ ਦਿੰਦਾ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਨਵਾਂ ਰੂਪ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਆਪਣੇ ਆਪ ਨੂੰ 'httpd.x86' ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਲੈਂਦਾ ਹੈ ਅਤੇ ਖਾਸ ਪ੍ਰਕਿਰਿਆਵਾਂ, ਜਿਵੇਂ ਕਿ ਸਥਾਨਕ ਸ਼ੈੱਲਾਂ ਨੂੰ ਖਤਮ ਕਰਨ ਲਈ ਪ੍ਰੋਗਰਾਮ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਸੁਧਾਰ ਐਕੁਆਬੋਟ ਨੂੰ ਹੋਰ ਵੀ ਬਚਣ ਵਾਲੇ ਬਣਾਉਣ ਅਤੇ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਮੁਕਾਬਲੇ ਵਾਲੀ ਬੋਟਨੈੱਟ ਗਤੀਵਿਧੀ ਦਾ ਪਤਾ ਲਗਾਉਣ ਦੇ ਯਤਨਾਂ ਦਾ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ।

ਵੇਚਣ ਦੀ ਪਹੁੰਚ: ਭੂਮੀਗਤ DDoS-for-Hire ਓਪਰੇਸ਼ਨ

ਸੰਕੇਤ ਟੈਲੀਗ੍ਰਾਮ 'ਤੇ ਆਪਣੇ ਬੋਟਨੈੱਟ ਨੂੰ DDoS ਸੇਵਾ ਵਜੋਂ ਪੇਸ਼ ਕਰਨ ਦੇ ਪਿੱਛੇ ਖ਼ਤਰੇ ਵਾਲੇ ਕਾਰਕੁਨਾਂ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦੇ ਹਨ। ਉਹ ਕਰਸਿੰਕ ਫਾਇਰਵਾਲ, ਦ ਆਈ ਸਰਵਿਸਿਜ਼, ਅਤੇ ਦ ਆਈ ਬੋਟਨੈੱਟ ਵਰਗੇ ਉਪਨਾਮਾਂ ਹੇਠ ਕੰਮ ਕਰਦੇ ਹਨ, ਭੁਗਤਾਨ ਕਰਨ ਵਾਲੇ ਗਾਹਕਾਂ ਨੂੰ ਹਮਲੇ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਹੋਸਟਾਂ ਦਾ ਲਾਭ ਉਠਾਉਂਦੇ ਹਨ।

ਵੱਡੀ ਤਸਵੀਰ: ਮੀਰਾਈ ਦਾ ਲੰਮਾ ਖ਼ਤਰਾ

ਐਕੁਆਬੋਟ ਵਰਗੇ ਮਿਰਾਈ-ਅਧਾਰਤ ਖਤਰਿਆਂ ਦਾ ਪੁਨਰ-ਉਭਾਰ ਇੰਟਰਨੈਟ ਨਾਲ ਜੁੜੇ ਡਿਵਾਈਸਾਂ ਨਾਲ ਜੁੜੇ ਨਿਰੰਤਰ ਜੋਖਮਾਂ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ। ਇਹਨਾਂ ਵਿੱਚੋਂ ਬਹੁਤ ਸਾਰੇ ਡਿਵਾਈਸਾਂ ਨਾਕਾਫ਼ੀ ਸੁਰੱਖਿਆ, ਪੁਰਾਣੇ ਸੌਫਟਵੇਅਰ, ਜਾਂ ਡਿਫਾਲਟ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਤੋਂ ਪੀੜਤ ਹਨ, ਜਿਸ ਨਾਲ ਉਹਨਾਂ ਨੂੰ ਸ਼ੋਸ਼ਣ ਲਈ ਆਸਾਨ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ।

ਹਮਲਾਵਰਾਂ ਵੱਲੋਂ ਇੱਕ ਗੁੰਮਰਾਹਕੁੰਨ ਦਲੀਲ

ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਕਸਰ ਦਾਅਵਾ ਕਰਦੇ ਹਨ ਕਿ ਉਨ੍ਹਾਂ ਦੇ ਬੋਟਨੈੱਟ ਕਾਰਜ ਸਿਰਫ਼ ਟੈਸਟਿੰਗ ਜਾਂ ਵਿਦਿਅਕ ਉਦੇਸ਼ਾਂ ਲਈ ਹਨ, ਖੋਜਕਰਤਾਵਾਂ ਅਤੇ ਕਾਨੂੰਨ ਲਾਗੂ ਕਰਨ ਵਾਲਿਆਂ ਨੂੰ ਗੁੰਮਰਾਹ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਹਨ। ਹਾਲਾਂਕਿ, ਹੋਰ ਵਿਸ਼ਲੇਸ਼ਣ ਅਕਸਰ ਉਨ੍ਹਾਂ ਦੇ ਅਸਲ ਇਰਾਦਿਆਂ ਦਾ ਖੁਲਾਸਾ ਕਰਦਾ ਹੈ - DDoS ਸੇਵਾਵਾਂ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਨਾ ਜਾਂ ਭੂਮੀਗਤ ਫੋਰਮਾਂ ਅਤੇ ਟੈਲੀਗ੍ਰਾਮ ਚੈਨਲਾਂ ਵਿੱਚ ਆਪਣੀਆਂ ਬੋਟਨੈੱਟ ਗਤੀਵਿਧੀਆਂ ਬਾਰੇ ਖੁੱਲ੍ਹ ਕੇ ਸ਼ੇਖੀ ਮਾਰਨਾ।