Aquabot Botnet
Wykryto wariant botnetu oparty na Mirai, znany jako Aquabot, aktywnie próbujący wykorzystać lukę w zabezpieczeniach telefonów Mitel. Atakujący zamierzają zintegrować te urządzenia w botnet zdolny do uruchamiania ataków typu Distributed Denial-of-Service (DDoS).
Spis treści
Luka w zabezpieczeniach w centrum uwagi: CVE-2024-41710
Celowa luka bezpieczeństwa, CVE-2024-41710, ma wynik CVSS 6,8 i wynika z luki w zabezpieczeniach polegającej na wstrzykiwaniu poleceń w procesie rozruchu. Ta luka może pozwolić atakującym na wykonywanie dowolnych poleceń w środowisku operacyjnym telefonu.
Dotknięte urządzenia i szczegóły poprawki
Luka dotyczy wielu modeli telefonów Mitel, w tym serii 6800, serii 6900, telefonów SIP serii 6900w i jednostki konferencyjnej 6970. Firma Mitel zajęła się tym problemem w lipcu 2024 r., ale w sierpniu udostępniono publicznie exploit proof-of-concept (PoC), co potencjalnie otworzyło drzwi dla aktorów zagrożeń.
Więcej niż jedna luka w grze
Oprócz luk CVE-2024-41710 zaobserwowano, że Aquabot wykorzystuje również inne luki w zabezpieczeniach, w tym CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 i CVE-2023-26801. Botnet próbował również wykorzystać lukę umożliwiającą zdalne wykonanie kodu w urządzeniach Linksys E-series, co wskazuje na szeroką powierzchnię ataku.
Aquabot: botnet oparty na Mirai z historią
Aquabot to botnet wywodzący się z niesławnego frameworka Mirai , zaprojektowany specjalnie do przeprowadzania ataków DDoS. Badacze śledzą jego aktywność od listopada 2023 r., a dowody na ciągłą ewolucję są widoczne.
Wykorzystanie luki: mechanizm ataku
Pierwsze oznaki aktywnej eksploatacji CVE-2024-41710 pojawiły się na początku stycznia 2025 r. Atakujący wdrażają złośliwe oprogramowanie botnetu, wykonując skrypt powłoki, który pobiera zagrażający ładunek za pomocą polecenia „wget”. Metoda ataku bardzo przypomina publicznie dostępny exploit PoC.
Bardziej dyskretna i zaawansowana wersja
Wariant Aquabota zaangażowany w te ataki wydaje się być trzecią iteracją złośliwego oprogramowania. Wprowadza on nową funkcję „report_kill”, która raportuje do serwera Command-and-Control (C2) za każdym razem, gdy proces botnetu zostanie zakończony. Nie ma jednak dowodów na to, że ta funkcja wyzwala jakąkolwiek natychmiastową odpowiedź serwera.
Ponadto nowy wariant maskuje się jako „httpd.x86”, aby uniknąć wykrycia i jest zaprogramowany tak, aby kończyć określone procesy, takie jak lokalne powłoki. Te udoskonalenia sugerują wysiłki mające na celu uczynienie Aquabota bardziej wymijającym i potencjalnie wykrywającym konkurencyjną aktywność botnetu.
Sprzedaż dostępu: podziemna operacja DDoS na zlecenie
Znaki wskazują na to, że aktorzy zagrożeń stojący za Aquabotem oferują swój botnet jako usługę DDoS w Telegramie. Działają pod pseudonimami takimi jak Cursinq Firewall, The Eye Services i The Eye Botnet, wykorzystując zainfekowane hosty do zapewnienia możliwości ataku płacącym klientom.
Szerszy obraz: ciągłe zagrożenie ze strony Mirai
Odrodzenie się zagrożeń opartych na Mirai, takich jak Aquabot, podkreśla ciągłe ryzyko związane z urządzeniami podłączonymi do Internetu. Wiele z tych urządzeń cierpi z powodu niewystarczającego bezpieczeństwa, przestarzałego oprogramowania lub domyślnych poświadczeń, co czyni je łatwymi celami do wykorzystania.
Mylące uzasadnienie atakujących
Aktorzy zagrożeń często twierdzą, że ich operacje botnetowe mają wyłącznie charakter testowy lub edukacyjny, próbując wprowadzić w błąd badaczy i organy ścigania. Jednak dalsza analiza często ujawnia ich prawdziwe intencje — oferowanie usług DDoS lub otwarte chwalenie się działaniami botnetowymi na podziemnych forach i kanałach Telegram.
