Aquabot Botnet
Različica botneta, ki temelji na Miraiju, znana kot Aquabot, je bila zaznana pri aktivnem poskusu izkoriščanja varnostne napake, ki vpliva na telefone Mitel. Napadalci nameravajo te naprave integrirati v botnet, ki je zmožen sprožiti napade DDoS (Distributed Denial-of-Service).
Kazalo
Ranljivost v središču: CVE-2024-41710
Ciljna varnostna napaka, CVE-2024-41710, ima oceno CVSS 6,8 in izhaja iz ranljivosti vbrizgavanja ukaza v procesu zagona. Ta napaka lahko napadalcem omogoči izvajanje poljubnih ukazov v operacijskem okolju telefona.
Prizadete naprave in podrobnosti popravkov
Ranljivost vpliva na več modelov telefonov Mitel, vključno s SIP telefoni serije 6800, serije 6900, serije 6900w in konferenčno enoto 6970. Mitel je to težavo obravnaval julija 2024, vendar je avgusta 2024 postalo javno dostopno orodje za dokaz koncepta (PoC), ki je potencialno odprlo vrata akterjem groženj.
Več kot ena ranljivost v igri
Poleg CVE-2024-41710 so opazili, da Aquabot cilja na dodatne ranljivosti, vključno s CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 in CVE-2023-26801. Botnet je prav tako poskušal izkoristiti napako pri oddaljenem izvajanju kode v napravah serije E Linksys, kar kaže na široko površino napada.
Aquabot: Botnet z zgodovino, ki temelji na Miraiju
Aquabot je botnet, ki izhaja iz razvpitega ogrodja Mirai , zasnovan izrecno za izvajanje napadov DDoS. Raziskovalci spremljajo njegovo dejavnost od novembra 2023 z dokazi o nenehnem razvoju.
Izkoriščanje napake: mehanizem napada
Prvi znaki aktivnega izkoriščanja proti CVE-2024-41710 so se pojavili v začetku januarja 2025. Napadalci uvedejo zlonamerno programsko opremo botneta z izvajanjem lupinskega skripta, ki z ukazom 'wget' pridobi nevarno vsebino. Metoda napada je zelo podobna javno dostopnemu izkoriščanju PoC.
Prikrita in naprednejša različica
Zdi se, da je različica Aquabota, vključena v te napade, tretja ponovitev zlonamerne programske opreme. Predstavlja novo funkcijo 'report_kill', ki poroča nazaj strežniku Command-and-Control (C2), kadar koli se prekine proces botneta. Vendar pa ni dokazov, da ta funkcija sproži kakršen koli takojšen odziv strežnika.
Poleg tega se nova različica prikrije kot 'httpd.x86', da se izogne zaznavanju, in je programirana za prekinitev določenih procesov, kot so lokalne lupine. Te izboljšave nakazujejo prizadevanja, da bi bil Aquabot bolj izogiben in potencialno zaznal konkurenčno dejavnost botnetov.
Prodaja dostopa: podzemna operacija DDoS za najem
Znaki kažejo na akterje groženj, ki stojijo za Aquabotom, ki ponuja svoj botnet kot storitev DDoS na Telegramu. Delujejo pod vzdevki, kot so Cursinq Firewall, The Eye Services in The Eye Botnet, pri čemer izkoriščajo ogrožene gostitelje za zagotavljanje zmogljivosti napada strankam, ki plačujejo.
Večja slika: Miraijeva dolgotrajna grožnja
Ponovna oživitev groženj, ki temeljijo na Miraiju, kot je Aquabot, poudarja stalna tveganja, povezana z napravami, povezanimi z internetom. Mnoge od teh naprav trpijo zaradi neustrezne varnosti, zastarele programske opreme ali privzetih poverilnic, zaradi česar so lahke tarče za izkoriščanje.
Zavajajoča utemeljitev napadalcev
Akterji groženj pogosto trdijo, da so njihove operacije botnetov izključno za testiranje ali izobraževalne namene, s čimer poskušajo zavesti raziskovalce in organe pregona. Vendar pa nadaljnja analiza pogosto razkrije njihove prave namene – ponujanje storitev DDoS ali odkrito hvalisanje s svojimi dejavnostmi botnetov na podzemnih forumih in kanalih Telegram.
