Aquabot Botnet
Вариант ботнета на базе Mirai, известный как Aquabot, был обнаружен в попытке активно использовать уязвимость безопасности, затрагивающую телефоны Mitel. Злоумышленники стремятся интегрировать эти устройства в ботнет, способный запускать атаки типа «распределенный отказ в обслуживании» (DDoS).
Оглавление
Уязвимость в фокусе: CVE-2024-41710
Целевая уязвимость безопасности CVE-2024-41710 имеет оценку CVSS 6,8 и возникает из-за уязвимости внедрения команд в процессе загрузки. Эта уязвимость может позволить злоумышленникам выполнять произвольные команды в операционной среде телефона.
Затронутые устройства и сведения об исправлениях
Уязвимость затрагивает несколько моделей телефонов Mitel, включая SIP-телефоны серий 6800, 6900, 6900w и конференц-устройство 6970. Mitel обратила внимание на проблему в июле 2024 года, но эксплойт для проверки концепции (PoC) стал общедоступным в августе, что потенциально открывает двери для злоумышленников.
Более одной уязвимости в игре
Помимо CVE-2024-41710, Aquabot был замечен в атаке на дополнительные уязвимости, включая CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 и CVE-2023-26801. Ботнет также пытался использовать уязвимость удаленного выполнения кода в устройствах Linksys E-серии, что указывает на широкую поверхность атаки.
Aquabot: ботнет на базе Mirai с историей
Aquabot — это ботнет, созданный на основе печально известного фреймворка Mirai , специально разработанный для проведения DDoS-атак. Исследователи отслеживают его активность с ноября 2023 года, и есть свидетельства его непрерывной эволюции.
Использование недостатка: механизм атаки
Первые признаки активной эксплуатации CVE-2024-41710 появились в начале января 2025 года. Злоумышленники развертывают вредоносное ПО ботнета, выполняя скрипт оболочки, который извлекает угрожающую полезную нагрузку с помощью команды 'wget'. Метод атаки очень похож на общедоступный эксплойт PoC.
Более скрытный и продвинутый вариант
Вариант Aquabot, задействованный в этих атаках, по-видимому, является третьей итерацией вредоносного ПО. Он вводит новую функцию 'report_kill', которая сообщает серверу Command-and-Control (C2) о каждом завершении процесса ботнета. Однако нет никаких доказательств того, что эта функция вызывает какой-либо немедленный ответ сервера.
Кроме того, новый вариант маскируется под «httpd.x86», чтобы избежать обнаружения, и запрограммирован на завершение определенных процессов, таких как локальные оболочки. Эти усовершенствования предполагают попытки сделать Aquabot более уклончивым и потенциально обнаруживать конкурирующую активность ботнета.
Продажа доступа: подпольная операция DDoS-атак по найму
Признаки указывают на то, что злоумышленники, стоящие за Aquabot, предлагают свой ботнет как DDoS-сервис в Telegram. Они действуют под псевдонимами Cursinq Firewall, The Eye Services и The Eye Botnet, используя скомпрометированные хосты для предоставления возможностей атак платным клиентам.
Общая картина: сохраняющаяся угроза Мираи
Возрождение угроз на основе Mirai, таких как Aquabot, подчеркивает сохраняющиеся риски, связанные с подключенными к Интернету устройствами. Многие из этих устройств страдают от недостаточной безопасности, устаревшего программного обеспечения или учетных данных по умолчанию, что делает их легкой целью для эксплуатации.
Вводящее в заблуждение оправдание со стороны нападающих
Злоумышленники часто утверждают, что их операции с ботнетами проводятся исключительно в целях тестирования или обучения, пытаясь ввести в заблуждение исследователей и правоохранительные органы. Однако дальнейший анализ часто раскрывает их истинные намерения — предложение услуг DDoS или открытое хвастовство своей деятельностью с ботнетами на подпольных форумах и каналах Telegram.
