Aquabot Botnet
O variantă de botnet bazată pe Mirai, cunoscută sub numele de Aquabot, a fost detectată încercând în mod activ să exploateze o defecțiune de securitate care afectează telefoanele Mitel. Atacatorii urmăresc să integreze aceste dispozitive într-un botnet capabil să lanseze atacuri Distributed Denial-of-Service (DDoS).
Cuprins
Vulnerabilitatea în atenție: CVE-2024-41710
Defectul de securitate vizat, CVE-2024-41710, are un scor CVSS de 6,8 și provine dintr-o vulnerabilitate de injectare de comandă în procesul de pornire. Acest defect poate permite atacatorilor să execute comenzi arbitrare în mediul de operare al telefonului.
Dispozitivele afectate și detaliile corecțiilor
Vulnerabilitatea afectează mai multe modele de telefoane Mitel, inclusiv seria 6800, seria 6900, telefoanele SIP din seria 6900w și unitatea de conferință 6970. Mitel a abordat problema în iulie 2024, dar o exploatare proof-of-concept (PoC) a devenit disponibilă public în august, deschizând potențial ușa pentru actorii amenințărilor.
Mai mult de o vulnerabilitate în joc
Dincolo de CVE-2024-41710, Aquabot a fost observat că vizează vulnerabilități suplimentare, inclusiv CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 și CVE-2023-268. Rețeaua botnet a încercat, de asemenea, să exploateze un defect de execuție a codului de la distanță în dispozitivele Linksys din seria E, indicând o suprafață largă de atac.
Aquabot: un botnet bazat pe Mirai cu o istorie
Aquabot este un botnet derivat din notoriul cadru Mirai , conceput în mod explicit pentru a executa atacuri DDoS. Cercetătorii îi urmăresc activitatea din noiembrie 2023, cu dovezi ale evoluției continue.
Exploatarea defectului: mecanismul de atac
Primele semne de exploatare activă împotriva CVE-2024-41710 au apărut la începutul lunii ianuarie 2025. Atacatorii implementează malware-ul botnet prin executarea unui script shell, care preia sarcina utilă amenințătoare folosind comanda „wget”. Metoda de atac seamănă îndeaproape cu exploitul PoC disponibil public.
O variantă mai ascunsă și mai avansată
Varianta Aquabot implicată în aceste atacuri pare a fi a treia iterație a malware-ului. Introduce o nouă funcție „report_kill”, care raportează serverului Command-and-Control (C2) ori de câte ori procesul botnet este încheiat. Cu toate acestea, nu există dovezi că această funcție declanșează vreun răspuns imediat din partea serverului.
În plus, noua variantă se deghizează în „httpd.x86” pentru a evita detectarea și este programată pentru a termina anumite procese, cum ar fi shell-urile locale. Aceste perfecționări sugerează eforturi de a face Aquabot mai evaziv și de a detecta potențial activitatea botnet-ului concurent.
Acces de vânzare: operațiunea subterană DDoS-for-Hire
Semnele indică actorii amenințărilor din spatele Aquabot care își oferă botnetul ca serviciu DDoS pe Telegram. Aceștia operează sub aliasuri precum Cursinq Firewall, The Eye Services și The Eye Botnet, utilizând gazde compromise pentru a oferi capabilități de atac clienților plătitori.
Imaginea de ansamblu: Amenințarea persistentă a lui Mirai
Resurgerea amenințărilor bazate pe Mirai, cum ar fi Aquabot, evidențiază riscurile continue asociate dispozitivelor conectate la internet. Multe dintre aceste dispozitive suferă de securitate inadecvată, software învechit sau acreditări implicite, făcându-le ținte ușoare pentru exploatare.
O justificare înșelătoare din partea atacatorilor
Actorii de amenințări susțin adesea că operațiunile lor botnet sunt doar în scopuri de testare sau educaționale, încercând să inducă în eroare cercetătorii și forțele de ordine. Cu toate acestea, analizele ulterioare dezvăluie adesea adevăratele lor intenții - oferirea de servicii DDoS sau lăudându-se deschis cu activitățile lor botnet în forumuri subterane și canale Telegram.
