Aquabot Botnet
Варијанта ботнет-а заснована на Мираи-у, позната као Акуабот, откривена је како активно покушава да искористи безбедносни пропуст који утиче на Мител телефоне. Нападачи имају за циљ да интегришу ове уређаје у ботнет који може да покрене нападе дистрибуираног ускраћивања услуге (ДДоС).
Преглед садржаја
Рањивост у фокусу: ЦВЕ-2024-41710
Циљана безбедносна грешка, ЦВЕ-2024-41710, има ЦВСС оцену 6,8 и потиче од рањивости убризгавања команде у процесу покретања. Ова мана може дозволити нападачима да извршавају произвољне команде унутар оперативног окружења телефона.
Захваћени уређаји и детаљи закрпе
Рањивост утиче на више модела Мител телефона, укључујући серију 6800, серију 6900, СИП телефоне серије 6900в и конференцијску јединицу 6970. Мител се позабавио овим питањем у јулу 2024. године, али је експлоатација доказа о концепту (ПоЦ) постала јавно доступна у августу, што би потенцијално отворило врата актерима претњи.
Више од једне рањивости у игрици
Осим ЦВЕ-2024-41710, примећено је да Акуабот циља на додатне рањивости, укључујући ЦВЕ-2018-10561, ЦВЕ-2018-10562, ЦВЕ-2018-17532, ЦВЕ-2022-31137 и ЦВЕ-280. Ботнет је такође покушао да искористи грешку у даљинском извршавању кода на уређајима Линксис Е серије, што указује на широку површину напада.
Акуабот: ботнет заснован на Мираију са историјом
Акуабот је ботнет изведен из озлоглашеног оквира Мираи , који је експлицитно дизајниран за извршавање ДДоС напада. Истраживачи прате његову активност од новембра 2023. године, са доказима о континуираној еволуцији.
Искоришћавање мане: механизам напада
Први знаци активне експлоатације против ЦВЕ-2024-41710 појавили су се почетком јануара 2025. Нападачи постављају малвер за ботнет извршавањем схелл скрипте, која преузима претеће оптерећење помоћу команде 'вгет'. Метода напада веома личи на јавно доступно ПоЦ експлоатацију.
Тајнија и напреднија варијанта
Чини се да је Акуабот варијанта укључена у ове нападе трећа итерација малвера. Уводи нову функцију 'репорт_килл', која извештава назад на Цомманд-анд-Цонтрол (Ц2) сервер кад год се процес ботнет-а прекине. Међутим, нема доказа да ова функција покреће било какав тренутни одговор сервера.
Поред тога, нова варијанта се маскира као 'хттпд.к86' да би се избегла детекција и програмирана је да прекине специфичне процесе, као што су локалне шкољке. Ова побољшања сугеришу напоре да се Акуабот учини избегавајућим и потенцијално открије конкурентску активност ботнет-а.
Продајни приступ: подземна операција ДДоС-а за изнајмљивање
Знаци указују на претње које стоје иза Акуабот-а који нуде свој ботнет као ДДоС услугу на Телеграму. Они раде под псеудонима као што су Цурсинк Фиревалл, Тхе Еие Сервицес и Тхе Еие Ботнет, користећи компромитоване хостове да обезбеде могућности напада корисницима који плаћају.
Већа слика: Мираиина дуготрајна претња
Поновна појава претњи заснованих на Мираи-у као што је Акуабот наглашава континуиране ризике повезане са уређајима повезаним на интернет. Многи од ових уређаја пате од неадекватне безбедности, застарелог софтвера или подразумеваних акредитива, што их чини лаким метама за експлоатацију.
Обмањујуће оправдање нападача
Актери претњи често тврде да су њихове ботнет операције искључиво у сврхе тестирања или образовања, покушавајући да обману истраживаче и полицију. Међутим, даља анализа често открива њихове праве намере — нуде ДДоС услуге или се отворено хвале својим ботнет активностима на подземним форумима и Телеграм каналима.
