Aquabot Botnet
Një variant botnet i bazuar në Mirai, i njohur si Aquabot, është zbuluar duke u përpjekur në mënyrë aktive të shfrytëzojë një defekt sigurie që prek telefonat Mitel. Sulmuesit synojnë t'i integrojnë këto pajisje në një botnet të aftë për të nisur sulmet e mohimit të shërbimit të shpërndarë (DDoS).
Tabela e Përmbajtjes
Dobësia në fokus: CVE-2024-41710
E meta e synuar e sigurisë, CVE-2024-41710, ka një rezultat CVSS prej 6.8 dhe rrjedh nga një cenueshmëri e injektimit të komandës në procesin e nisjes. Ky defekt mund t'i lejojë sulmuesit të ekzekutojnë komanda arbitrare brenda mjedisit të funksionimit të telefonit.
Pajisjet e prekura dhe detajet e patch-it
Dobësia prek modele të shumta telefonash Mitel, duke përfshirë Seritë 6800, Seritë 6900, Telefonat SIP të Serisë 6900w dhe Njësinë e Konferencave 6970. Mitel e trajtoi çështjen në korrik 2024, por një shfrytëzim i provës së konceptit (PoC) u bë i disponueshëm publikisht në gusht, duke hapur potencialisht derën për aktorët e kërcënimit.
Më shumë se një dobësi në lojë
Përtej CVE-2024-41710, Aquabot është vërejtur duke synuar dobësi shtesë, duke përfshirë CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 dhe CVE-260. Botnet-i është përpjekur gjithashtu të shfrytëzojë një defekt të ekzekutimit të kodit në distancë në pajisjet e serisë Linksys E, duke treguar një sipërfaqe të gjerë sulmi.
Aquabot: Një Botnet i bazuar në Mirai me një histori
Aquabot është një botnet që rrjedh nga kuadri famëkeq Mirai , i krijuar në mënyrë eksplicite për ekzekutimin e sulmeve DDoS. Studiuesit e kanë ndjekur aktivitetin e saj që nga nëntori 2023, me dëshmi të evolucionit të vazhdueshëm.
Shfrytëzimi i të metave: Mekanizmi i Sulmit
Shenjat e para të shfrytëzimit aktiv kundër CVE-2024-41710 u shfaqën në fillim të janarit 2025. Sulmuesit vendosin malware-in botnet duke ekzekutuar një skript shell, i cili merr ngarkesën kërcënuese duke përdorur komandën 'wget'. Metoda e sulmit i ngjan shumë shfrytëzimit PoC të disponueshëm publikisht.
Një variant më i fshehtë dhe më i avancuar
Varianti Aquabot i përfshirë në këto sulme duket të jetë përsëritja e tretë e malware. Ai prezanton një funksion të ri 'report_kill', i cili i raporton serverit Command-and-Control (C2) sa herë që përfundon procesi i botnet-it. Megjithatë, nuk ka asnjë provë që ky funksion shkakton ndonjë përgjigje të menjëhershme nga serveri.
Përveç kësaj, varianti i ri maskohet si 'httpd.x86' për të shmangur zbulimin dhe është programuar për të përfunduar procese specifike, të tilla si predha lokale. Këto përmirësime sugjerojnë përpjekje për ta bërë Aquabot më evaziv dhe potencialisht për të zbuluar aktivitetin konkurrues të botnet-it.
Qasja në shitje: Operacioni DDoS-për-Hire nëntokësore
Shenjat tregojnë për aktorët e kërcënimit pas Aquabot që ofrojnë botnet-in e tyre si një shërbim DDoS në Telegram. Ata operojnë nën pseudonime të tilla si Cursinq Firewall, The Eye Services dhe The Eye Botnet, duke shfrytëzuar hostet e komprometuar për të ofruar aftësi sulmi për klientët që paguajnë.
Fotografia më e madhe: Kërcënimi i zgjatur i Mirait
Ringjallja e kërcënimeve të bazuara në Mirai si Aquabot nxjerr në pah rreziqet e vazhdueshme që lidhen me pajisjet e lidhura me internetin. Shumë nga këto pajisje vuajnë nga siguria e pamjaftueshme, softueri i vjetëruar ose kredencialet e paracaktuara, duke i bërë ato objektiva të lehta për t'u shfrytëzuar.
Një justifikim mashtrues nga sulmuesit
Aktorët e kërcënimit shpesh pretendojnë se operacionet e tyre botnet janë thjesht për qëllime testimi ose edukative, duke u përpjekur të mashtrojnë studiuesit dhe zbatimin e ligjit. Sidoqoftë, analiza e mëtejshme shpesh zbulon qëllimet e tyre të vërteta - ofrimi i shërbimeve DDoS ose mburrja e hapur për aktivitetet e tyre botnet në forume nëntokësore dhe kanale Telegram.
