Aquabot Botnet

మిరాయ్ ఆధారిత బోట్‌నెట్ వేరియంట్, ఆక్వాబాట్, మిటెల్ ఫోన్‌లను ప్రభావితం చేసే భద్రతా లోపాన్ని ఉపయోగించుకోవడానికి చురుకుగా ప్రయత్నిస్తున్నట్లు గుర్తించబడింది. దాడి చేసేవారు ఈ పరికరాలను డిస్ట్రిబ్యూటెడ్ డినైల్-ఆఫ్-సర్వీస్ (DDoS) దాడులను ప్రారంభించగల బోట్‌నెట్‌లోకి అనుసంధానించాలని లక్ష్యంగా పెట్టుకున్నారు.

దృష్టి లో దుర్బలత్వం: CVE-2024-41710

లక్ష్యంగా చేసుకున్న భద్రతా లోపం, CVE-2024-41710, 6.8 CVSS స్కోర్‌ను కలిగి ఉంది మరియు బూట్ ప్రాసెస్‌లో కమాండ్ ఇంజెక్షన్ దుర్బలత్వం నుండి వచ్చింది. ఈ లోపం దాడి చేసేవారు ఫోన్ ఆపరేటింగ్ వాతావరణంలో ఏకపక్ష ఆదేశాలను అమలు చేయడానికి అనుమతించవచ్చు.

ప్రభావిత పరికరాలు మరియు ప్యాచ్ వివరాలు

ఈ దుర్బలత్వం 6800 సిరీస్, 6900 సిరీస్, 6900w సిరీస్ SIP ఫోన్‌లు మరియు 6970 కాన్ఫరెన్స్ యూనిట్‌తో సహా బహుళ Mitel ఫోన్ మోడళ్లను ప్రభావితం చేస్తుంది. Mitel జూలై 2024లో ఈ సమస్యను ప్రస్తావించింది, కానీ ఆగస్టులో ప్రూఫ్-ఆఫ్-కాన్సెప్ట్ (PoC) దోపిడీ బహిరంగంగా అందుబాటులోకి వచ్చింది, ఇది బెదిరింపు నటులకు తలుపులు తెరిచే అవకాశం ఉంది.

ఆటలో ఒకటి కంటే ఎక్కువ దుర్బలత్వాలు

CVE-2024-41710 దాటి, CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137, మరియు CVE-2023-26801 వంటి అదనపు దుర్బలత్వాలను అక్వాబాట్ లక్ష్యంగా చేసుకున్నట్లు గమనించబడింది. బోట్‌నెట్ లింక్సిస్ E-సిరీస్ పరికరాల్లో రిమోట్ కోడ్ అమలు లోపాన్ని ఉపయోగించుకోవడానికి కూడా ప్రయత్నించింది, ఇది విస్తృత దాడి ఉపరితలాన్ని సూచిస్తుంది.

అక్వాబోట్: చరిత్ర కలిగిన మిరాయ్ ఆధారిత బాట్‌నెట్

అక్వాబోట్ అనేది అపఖ్యాతి పాలైన మిరాయ్ ఫ్రేమ్‌వర్క్ నుండి ఉద్భవించిన ఒక బోట్‌నెట్, ఇది DDoS దాడులను అమలు చేయడానికి ప్రత్యేకంగా రూపొందించబడింది. నిరంతర పరిణామానికి ఆధారాలతో, పరిశోధకులు నవంబర్ 2023 నుండి దాని కార్యకలాపాలను ట్రాక్ చేస్తున్నారు.

లోపాన్ని ఉపయోగించడం: దాడి యంత్రాంగం

CVE-2024-41710 పై క్రియాశీల దోపిడీకి సంబంధించిన మొదటి సంకేతాలు జనవరి 2025 ప్రారంభంలో బయటపడ్డాయి. దాడి చేసేవారు షెల్ స్క్రిప్ట్‌ను అమలు చేయడం ద్వారా బోట్‌నెట్ మాల్వేర్‌ను అమలు చేస్తారు, ఇది 'wget' కమాండ్‌ని ఉపయోగించి బెదిరింపు పేలోడ్‌ను తిరిగి పొందుతుంది. దాడి పద్ధతి బహిరంగంగా అందుబాటులో ఉన్న PoC దోపిడీని దగ్గరగా పోలి ఉంటుంది.

మరింత రహస్యమైన మరియు అధునాతనమైన వేరియంట్

ఈ దాడుల్లో పాల్గొన్న అక్వాబాట్ వేరియంట్ మాల్వేర్ యొక్క మూడవ పునరావృతంగా కనిపిస్తుంది. ఇది ఒక నవల 'report_kill' ఫంక్షన్‌ను పరిచయం చేస్తుంది, ఇది బోట్‌నెట్ ప్రక్రియ ముగిసినప్పుడల్లా కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌కు తిరిగి నివేదిస్తుంది. అయితే, ఈ ఫంక్షన్ సర్వర్ నుండి ఏదైనా తక్షణ ప్రతిస్పందనను ప్రేరేపిస్తుందనడానికి ఎటువంటి ఆధారాలు లేవు.

అదనంగా, కొత్త వేరియంట్ గుర్తింపును నివారించడానికి 'httpd.x86' గా మారువేషంలో ఉంటుంది మరియు స్థానిక షెల్స్ వంటి నిర్దిష్ట ప్రక్రియలను ముగించడానికి ప్రోగ్రామ్ చేయబడింది. ఈ మెరుగుదలలు అక్వాబాట్‌ను మరింత తప్పించుకునేలా చేయడానికి మరియు పోటీ బోట్‌నెట్ కార్యాచరణను సమర్థవంతంగా గుర్తించే ప్రయత్నాలను సూచిస్తున్నాయి.

అమ్మకపు యాక్సెస్: భూగర్భ DDoS-ఫర్-హైర్ ఆపరేషన్

టెలిగ్రామ్‌లో అక్వాబాట్ తమ బోట్‌నెట్‌ను DDoS సేవగా అందించడం వెనుక ఉన్న ముప్పు పాత్రలను సంకేతాలు సూచిస్తున్నాయి. వారు కర్సింక్ ఫైర్‌వాల్, ది ఐ సర్వీసెస్ మరియు ది ఐ బాట్‌నెట్ వంటి మారుపేర్లతో పనిచేస్తారు, చెల్లింపుదారులకు దాడి సామర్థ్యాలను అందించడానికి రాజీపడిన హోస్ట్‌లను ఉపయోగించుకుంటారు.

పెద్ద చిత్రం: మిరాయ్ యొక్క దీర్ఘకాలిక ముప్పు

అక్వాబోట్ వంటి మిరాయ్ ఆధారిత బెదిరింపులు తిరిగి పుంజుకోవడం ఇంటర్నెట్-కనెక్ట్ చేయబడిన పరికరాలతో ముడిపడి ఉన్న నిరంతర ప్రమాదాలను హైలైట్ చేస్తుంది. ఈ పరికరాల్లో చాలా వరకు సరిపోని భద్రత, పాత సాఫ్ట్‌వేర్ లేదా డిఫాల్ట్ ఆధారాలతో బాధపడుతున్నాయి, ఇవి దోపిడీకి సులభమైన లక్ష్యాలుగా మారుతున్నాయి.

దాడి చేసేవారి నుండి తప్పుదారి పట్టించే సమర్థన

బెదిరింపు నటులు తరచుగా తమ బోట్‌నెట్ కార్యకలాపాలు పూర్తిగా పరీక్ష లేదా విద్యా ప్రయోజనాల కోసం అని, పరిశోధకులను మరియు చట్ట అమలు సంస్థలను తప్పుదారి పట్టించడానికి ప్రయత్నిస్తున్నారని చెబుతారు. అయితే, మరింత విశ్లేషణ తరచుగా వారి నిజమైన ఉద్దేశాలను వెల్లడిస్తుంది - DDoS సేవలను అందించడం లేదా భూగర్భ ఫోరమ్‌లు మరియు టెలిగ్రామ్ ఛానెల్‌లలో వారి బోట్‌నెట్ కార్యకలాపాల గురించి బహిరంగంగా గొప్పగా చెప్పుకోవడం.