Aquabot Botnet
Uma variante de botnet baseada no Mirai, conhecida como Aquabot, foi detectada tentando ativamente explorar uma falha de segurança que afeta os telefones Mitel. Os invasores visam integrar esses dispositivos em uma botnet capaz de lançar ataques de Negação de Serviço Distribuída (DDoS).
Índice
A Vulnerabilidade em Foco: CVE-2024-41710
A falha de segurança visada, CVE-2024-41710, carrega uma pontuação CVSS de 6,8 e decorre de uma vulnerabilidade de injeção de comando no processo de inicialização. Essa falha pode permitir que invasores executem comandos arbitrários dentro do ambiente operacional do telefone.
Dispositivos Afetados e Detalhes da Correção
A vulnerabilidade afeta vários modelos de telefone Mitel, incluindo os telefones SIP da série 6800, série 6900, série 6900w e a unidade de conferência 6970. A Mitel abordou o problema em julho de 2024, mas um exploit de prova de conceito (PoC) tornou-se publicamente disponível em agosto, potencialmente abrindo a porta para agentes de ameaças.
Mais de Uma Vulnerabilidade em Jogo
Além do CVE-2024-41710, o Aquabot foi observado mirando em vulnerabilidades adicionais, incluindo CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 e CVE-2023-26801. O botnet também tentou explorar uma falha de execução remota de código em dispositivos Linksys série E, indicando uma ampla superfície de ataque.
Aquabot: Um Botnet com História Baseado no Mirai
Aquabot é uma botnet derivada do famoso framework Mirai, projetada explicitamente para executar ataques DDoS. Pesquisadores têm rastreado sua atividade desde novembro de 2023, com evidências de evolução contínua.
Explorando a Falha: O Mecanismo de Ataque
Os primeiros sinais de exploração ativa contra CVE-2024-41710 surgiram no início de janeiro de 2025. Os invasores implantam o malware botnet executando um script de shell, que recupera a carga útil ameaçadora usando o comando 'wget'. O método de ataque se assemelha muito ao exploit PoC disponível publicamente.
Uma Variante mais Furtiva e Avançada
A variante Aquabot envolvida nesses ataques parece ser a terceira iteração do malware. Ela introduz uma nova função 'report_kill', que reporta de volta ao servidor Command-and-Control (C2) sempre que o processo botnet é encerrado. No entanto, não há evidências de que essa função acione qualquer resposta imediata do servidor.
Além disso, a nova variante se disfarça como 'httpd.x86' para evitar a detecção e é programada para encerrar processos específicos, como shells locais. Esses refinamentos sugerem esforços para tornar o Aquabot mais evasivo e potencialmente detectar atividade de botnet concorrente.
Venda de Acesso: A Operação Subterrânea de DDoS de Aluguel
Os sinais apontam para os atores de ameaças por trás do Aquabot oferecendo sua botnet como um serviço DDoS no Telegram. Eles operam sob pseudônimos como Cursinq Firewall, The Eye Services e The Eye Botnet, alavancando hosts comprometidos para fornecer capacidades de ataque a clientes pagantes.
Quadro Geral: A Ameaça Persistente do Mirai
O ressurgimento de ameaças baseadas em Mirai como Aquabot destaca os riscos contínuos associados a dispositivos conectados à internet. Muitos desses dispositivos sofrem com segurança inadequada, software desatualizado ou credenciais padrão, tornando-os alvos fáceis para exploração.
A Justificativa Enganosa dos Atacantes
Os agentes de ameaças frequentemente alegam que suas operações de botnet são puramente para fins educacionais ou de teste, tentando enganar pesquisadores e autoridades policiais. No entanto, análises mais aprofundadas frequentemente revelam suas verdadeiras intenções — oferecendo serviços de DDoS ou se gabando abertamente sobre suas atividades de botnet em fóruns clandestinos e canais do Telegram.
