Botnet Aquabot
Variant botnetu založený na Mirai, známy ako Aquabot, sa aktívne pokúša zneužiť bezpečnostnú chybu ovplyvňujúcu telefóny Mitel. Cieľom útočníkov je integrovať tieto zariadenia do botnetu schopného spúšťať útoky typu Distributed Denial-of-Service (DDoS).
Obsah
V centre pozornosti zraniteľnosť: CVE-2024-41710
Cieľová bezpečnostná chyba, CVE-2024-41710, má skóre CVSS 6,8 a pramení zo zraniteľnosti v oblasti zavádzania príkazov v procese zavádzania. Táto chyba môže útočníkom umožniť vykonávať ľubovoľné príkazy v operačnom prostredí telefónu.
Ovplyvnené zariadenia a podrobnosti o oprave
Zraniteľnosť ovplyvňuje viacero modelov telefónov Mitel, vrátane telefónov SIP radu 6800, 6900, 6900w a konferenčnej jednotky 6970. Mitel sa problémom zaoberal v júli 2024, ale v auguste sa verejne sprístupnil proof-of-concept (PoC), ktorý potenciálne otvoril dvere pre aktérov hrozieb.
Viac ako jedna chyba zabezpečenia v službe Play
Okrem CVE-2024-41710 bolo pozorované, že Aquabot sa zameriava na ďalšie zraniteľnosti vrátane CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 a CVE2.68137 Botnet sa tiež pokúsil zneužiť chybu v spúšťaní kódu na diaľku v zariadeniach Linksys E-series, čo naznačuje širokú plochu útoku.
Aquabot: Botnet založený na Mirai s históriou
Aquabot je botnet odvodený od notoricky známeho rámca Mirai , ktorý bol navrhnutý výslovne na vykonávanie DDoS útokov. Výskumníci sledovali jeho aktivitu od novembra 2023 s dôkazmi o nepretržitom vývoji.
Využitie chyby: Mechanizmus útoku
Prvé známky aktívneho zneužívania proti CVE-2024-41710 sa objavili začiatkom januára 2025. Útočníci nasadia malvér botnetu spustením skriptu shellu, ktorý pomocou príkazu „wget“ získa hrozivý náklad. Spôsob útoku sa veľmi podobá verejne dostupnému exploitu PoC.
Tajomnejší a pokročilejší variant
Variant Aquabot zapojený do týchto útokov sa zdá byť treťou iteráciou malvéru. Zavádza novú funkciu „report_kill“, ktorá podáva správu serveru Command-and-Control (C2) vždy, keď je proces botnetu ukončený. Neexistuje však žiadny dôkaz, že táto funkcia spúšťa akúkoľvek okamžitú odpoveď zo servera.
Okrem toho sa nový variant maskuje ako 'httpd.x86', aby sa zabránilo detekcii, a je naprogramovaný tak, aby ukončil špecifické procesy, ako napríklad lokálne shelly. Tieto vylepšenia naznačujú úsilie, aby bol Aquabot vyhýbavejší a potenciálne odhalil konkurenčnú aktivitu botnetu.
Predajný prístup: Podzemná operácia DDoS-for-Hire
Známky poukazujú na aktérov hrozieb stojacich za Aquabotom, ktorý ponúka svoj botnet ako službu DDoS na telegrame. Fungujú pod aliasmi ako Cursinq Firewall, The Eye Services a The Eye Botnet, pričom využívajú napadnutých hostiteľov na poskytovanie možností útoku platiacim zákazníkom.
Väčší obraz: Miraiova pretrvávajúca hrozba
Oživenie hrozieb založených na Mirai, ako je Aquabot, poukazuje na pretrvávajúce riziká spojené so zariadeniami pripojenými na internet. Mnohé z týchto zariadení trpia nedostatočným zabezpečením, zastaraným softvérom alebo predvolenými povereniami, čo z nich robí ľahké ciele na zneužitie.
Zavádzajúce odôvodnenie od útočníkov
Aktéri hrozieb často tvrdia, že ich operácie botnetov slúžia výlučne na testovacie alebo vzdelávacie účely, čím sa pokúšajú zavádzať výskumníkov a orgány činné v trestnom konaní. Ďalšia analýza však často odhaľuje ich skutočné zámery – ponúkať služby DDoS alebo sa otvorene chváliť svojimi botnetovými aktivitami na podzemných fórach a telegramových kanáloch.
