บอตเน็ต Aquabot

พบว่า Aquabotnet เวอร์ชัน Mirai พยายามโจมตีจุดบกพร่องด้านความปลอดภัยที่ส่งผลกระทบต่อโทรศัพท์ Mitel โดยผู้โจมตีมีเป้าหมายที่จะรวมอุปกรณ์เหล่านี้เข้ากับบอตเน็ตที่สามารถเปิดการโจมตีแบบ Distributed Denial-of-Service (DDoS) ได้

ช่องโหว่ที่เน้น: CVE-2024-41710

ช่องโหว่ด้านความปลอดภัยที่กำหนดเป้าหมายคือ CVE-2024-41710 ซึ่งมีคะแนน CVSS อยู่ที่ 6.8 และเกิดจากช่องโหว่การใส่คำสั่งในกระบวนการบูต ช่องโหว่นี้อาจอนุญาตให้ผู้โจมตีสามารถดำเนินการคำสั่งตามอำเภอใจภายในสภาพแวดล้อมการทำงานของโทรศัพท์ได้

อุปกรณ์ที่ได้รับผลกระทบและรายละเอียดแพตช์

ช่องโหว่นี้ส่งผลกระทบต่อโทรศัพท์ Mitel หลายรุ่น รวมถึงโทรศัพท์ SIP รุ่น 6800 Series, 6900 Series, 6900w Series และ Conference Unit รุ่น 6970 Mitel ได้แก้ไขปัญหานี้ในเดือนกรกฎาคม 2024 แต่ช่องโหว่แนวคิดพิสูจน์ (Proof-of-concept หรือ PoC) ได้ถูกเปิดเผยต่อสาธารณะในเดือนสิงหาคม ซึ่งอาจเปิดช่องให้ผู้ก่อภัยคุกคามเข้าถึงได้

มีช่องโหว่มากกว่าหนึ่งจุดในการเล่น

นอกเหนือจาก CVE-2024-41710 แล้ว Aquabot ยังถูกตรวจพบว่าโจมตีช่องโหว่เพิ่มเติม ได้แก่ CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 และ CVE-2023-26801 นอกจากนี้ บอตเน็ตยังพยายามใช้ประโยชน์จากจุดบกพร่องของการรันโค้ดจากระยะไกลในอุปกรณ์ Linksys E-series ซึ่งบ่งชี้ว่ามีพื้นผิวการโจมตีที่กว้างขวาง

Aquabot: บอตเน็ตที่ใช้ Mirai และมีประวัติ

Aquabot เป็นบอตเน็ตที่พัฒนามาจากเฟรมเวิร์ก Mirai ที่มีชื่อเสียง ซึ่งได้รับการออกแบบมาเพื่อโจมตี DDoS โดยเฉพาะ นักวิจัยได้ติดตามกิจกรรมของบอตเน็ตมาตั้งแต่เดือนพฤศจิกายน 2023 โดยมีหลักฐานของการพัฒนาอย่างต่อเนื่อง

การใช้ประโยชน์จากข้อบกพร่อง: กลไกการโจมตี

สัญญาณแรกของการโจมตี CVE-2024-41710 ปรากฏขึ้นในช่วงต้นเดือนมกราคม 2025 ผู้โจมตีใช้มัลแวร์บอตเน็ตโดยเรียกใช้สคริปต์เชลล์ซึ่งดึงข้อมูลที่เป็นอันตรายโดยใช้คำสั่ง 'wget' วิธีการโจมตีนี้คล้ายคลึงกับการโจมตี PoC ที่เปิดให้ใช้งานสาธารณะ

รุ่นที่ล้ำหน้าและซ่อนเร้นยิ่งขึ้น

ดูเหมือนว่า Aquabot ที่เกี่ยวข้องกับการโจมตีครั้งนี้จะเป็นมัลแวร์รุ่นที่ 3 ที่มีฟังก์ชันใหม่ 'report_kill' ซึ่งจะรายงานกลับไปยังเซิร์ฟเวอร์ Command-and-Control (C2) ทุกครั้งที่กระบวนการบอตเน็ตสิ้นสุดลง อย่างไรก็ตาม ไม่มีหลักฐานว่าฟังก์ชันนี้จะกระตุ้นให้เซิร์ฟเวอร์ตอบสนองทันที

นอกจากนี้ เวอร์ชันใหม่ยังปลอมตัวเป็น 'httpd.x86' เพื่อหลีกเลี่ยงการตรวจจับ และถูกตั้งโปรแกรมให้ยุติกระบวนการเฉพาะ เช่น เชลล์ในเครื่อง การปรับปรุงเหล่านี้ชี้ให้เห็นถึงความพยายามที่จะทำให้ Aquabot หลบเลี่ยงได้มากขึ้น และอาจตรวจจับกิจกรรมของบอตเน็ตที่แข่งขันกัน

การขายการเข้าถึง: ปฏิบัติการ DDoS-for-Hire ใต้ดิน

สัญญาณบ่งชี้ถึงผู้ก่อภัยคุกคามที่อยู่เบื้องหลัง Aquabot ที่เสนอบริการบอตเน็ตเป็นบริการ DDoS บน Telegram โดยพวกเขาใช้ชื่อแฝงเช่น Cursinq Firewall, The Eye Services และ The Eye Botnet โดยใช้ประโยชน์จากโฮสต์ที่ถูกบุกรุกเพื่อให้มีความสามารถในการโจมตีแก่ลูกค้าที่ชำระเงิน

ภาพรวม: ภัยคุกคามที่ยังคงหลงเหลือของมิไร

การกลับมาของภัยคุกคามที่ใช้ Mirai เช่น Aquabot เน้นย้ำถึงความเสี่ยงที่เกิดขึ้นอย่างต่อเนื่องที่เกี่ยวข้องกับอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ต อุปกรณ์เหล่านี้หลายตัวประสบปัญหาความปลอดภัยที่ไม่เพียงพอ ซอฟต์แวร์ที่ล้าสมัย หรือข้อมูลรับรองเริ่มต้น ทำให้อุปกรณ์เหล่านี้ตกเป็นเป้าหมายของการใช้ประโยชน์ได้ง่าย

การแก้ตัวที่ทำให้เข้าใจผิดจากผู้โจมตี

ผู้ก่อภัยคุกคามมักอ้างว่าปฏิบัติการบอตเน็ตของตนเป็นเพียงเพื่อการทดสอบหรือเพื่อการศึกษาเท่านั้น โดยพยายามทำให้ผู้วิจัยและเจ้าหน้าที่บังคับใช้กฎหมายเข้าใจผิด อย่างไรก็ตาม การวิเคราะห์เพิ่มเติมมักจะเผยให้เห็นเจตนาที่แท้จริงของพวกเขา ซึ่งได้แก่ การเสนอบริการ DDoS หรือการโอ้อวดอย่างเปิดเผยเกี่ยวกับกิจกรรมบอตเน็ตของตนในฟอรัมใต้ดินและช่องทาง Telegram