Aquabot Botnet
En Mirai-baserad botnätsvariant, känd som Aquabot, har upptäckts som aktivt försöker utnyttja ett säkerhetsfel som påverkar Mitel-telefoner. Angriparna siktar på att integrera dessa enheter i ett botnät som kan starta DDoS-attacker (Distributed Denial-of-Service).
Innehållsförteckning
Sårbarheten i fokus: CVE-2024-41710
Det riktade säkerhetsfelet, CVE-2024-41710, har en CVSS-poäng på 6,8 och härrör från en sårbarhet för kommandoinjektion i uppstartsprocessen. Detta fel kan tillåta angripare att utföra godtyckliga kommandon inom telefonens operativa miljö.
Berörda enheter och patchdetaljer
Sårbarheten påverkar flera Mitel-telefonmodeller, inklusive 6800-serien, 6900-serien, 6900w-seriens SIP-telefoner och 6970-konferensenheten. Mitel tog upp problemet i juli 2024, men ett proof-of-concept (PoC) utnyttjande blev allmänt tillgängligt i augusti, vilket potentiellt öppnade dörren för hotaktörer.
Mer än en sårbarhet i spel
Utöver CVE-2024-41710 har Aquabot observerats inriktat på ytterligare sårbarheter, inklusive CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 och CVE-2023-2023. Botnätet har också försökt utnyttja ett fel vid exekvering av fjärrkod i enheter i Linksys E-serie, vilket tyder på en bred attackyta.
Aquabot: Ett Mirai-baserat botnät med en historia
Aquabot är ett botnät som kommer från det ökända Mirai -ramverket, designat specifikt för att utföra DDoS-attacker. Forskare har spårat dess aktivitet sedan november 2023, med bevis på kontinuerlig utveckling.
Utnyttja felet: attackmekanism
De första tecknen på aktivt utnyttjande mot CVE-2024-41710 dök upp i början av januari 2025. Angripare distribuerar botnätets skadliga program genom att köra ett skalskript, som hämtar den hotande nyttolasten med kommandot 'wget'. Attackmetoden liknar den allmänt tillgängliga PoC-exploateringen.
En smygande och mer avancerad variant
Aquabot-varianten som är involverad i dessa attacker verkar vara den tredje iterationen av skadlig programvara. Den introducerar en ny "report_kill"-funktion, som rapporterar tillbaka till Command-and-Control-servern (C2) närhelst botnätprocessen avslutas. Det finns dock inga bevis för att denna funktion utlöser något omedelbart svar från servern.
Dessutom klär den nya varianten ut sig som "httpd.x86" för att undvika upptäckt och är programmerad att avsluta specifika processer, såsom lokala skal. Dessa förbättringar föreslår ansträngningar för att göra Aquabot mer undvikande och potentiellt upptäcka konkurrerande botnätaktivitet.
Säljåtkomst: Underground DDoS-for-Hire Operation
Tecken pekar på hotaktörerna bakom Aquabot som erbjuder sitt botnät som en DDoS-tjänst på Telegram. De verkar under alias som Cursinq Firewall, The Eye Services och The Eye Botnet, och utnyttjar komprometterade värdar för att tillhandahålla attackmöjligheter till betalande kunder.
Den större bilden: Mirai's Lingering Threat
Uppkomsten av Mirai-baserade hot som Aquabot belyser de fortsatta riskerna med internetanslutna enheter. Många av dessa enheter lider av otillräcklig säkerhet, föråldrad programvara eller standardreferenser, vilket gör dem till enkla mål för exploatering.
En vilseledande motivering från angripare
Hotaktörer hävdar ofta att deras botnätsverksamhet är enbart för test- eller utbildningsändamål, i ett försök att vilseleda forskare och brottsbekämpning. Men ytterligare analys avslöjar ofta deras verkliga avsikter – att erbjuda DDoS-tjänster eller öppet skryta om deras botnätaktiviteter i underjordiska forum och Telegram-kanaler.
