Aquabot Botnet
Ang isang variant ng botnet na nakabase sa Mirai, na kilala bilang Aquabot, ay natukoy na aktibong sinusubukang pagsamantalahan ang isang kakulangan sa seguridad na nakakaapekto sa mga Mitel phone. Nilalayon ng mga umaatake na isama ang mga device na ito sa isang botnet na may kakayahang maglunsad ng mga Distributed Denial-of-Service (DDoS) na pag-atake.
Talaan ng mga Nilalaman
Ang Kahinaan sa Pagtuon: CVE-2024-41710
Ang naka-target na kapintasan sa seguridad, CVE-2024-41710, ay nagdadala ng marka ng CVSS na 6.8 at nagmumula sa isang kahinaan ng command injection sa proseso ng boot. Ang kapintasan na ito ay maaaring magpapahintulot sa mga umaatake na magsagawa ng mga arbitrary na utos sa loob ng operating environment ng telepono.
Mga Apektadong Device at Mga Detalye ng Patch
Ang kahinaan ay nakakaapekto sa maraming modelo ng telepono ng Mitel, kabilang ang 6800 Series, 6900 Series, 6900w Series SIP Phones, at ang 6970 Conference Unit. Tinalakay ni Mitel ang isyu noong Hulyo 2024, ngunit naging available sa publiko ang isang proof-of-concept (PoC) exploit noong Agosto, na posibleng magbukas ng pinto para sa mga aktor ng pagbabanta.
Higit sa Isang Vulnerability sa Play
Higit pa sa CVE-2024-41710, ang Aquabot ay naobserbahang nagta-target ng mga karagdagang kahinaan, kabilang ang CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137, at CVE-2601. Sinubukan din ng botnet na pagsamantalahan ang isang depekto sa pagpapatupad ng malayuang code sa mga Linksys E-series na device, na nagpapahiwatig ng malawak na pag-atake.
Aquabot: Isang Mirai-Based Botnet na may Kasaysayan
Ang Aquabot ay isang botnet na nagmula sa kilalang Mirai framework, na tahasang idinisenyo para sa pagsasagawa ng mga pag-atake ng DDoS. Sinusubaybayan ng mga mananaliksik ang aktibidad nito mula noong Nobyembre 2023, na may katibayan ng patuloy na ebolusyon.
Pagsasamantala sa Kapintasan: Mekanismo ng Pag-atake
Ang mga unang senyales ng aktibong pagsasamantala laban sa CVE-2024-41710 ay lumitaw noong unang bahagi ng Enero 2025. Ang mga attacker ay nag-deploy ng botnet malware sa pamamagitan ng pagsasagawa ng shell script, na kumukuha ng nagbabantang payload gamit ang command na 'wget'. Ang paraan ng pag-atake ay malapit na kahawig ng magagamit ng publiko na pagsasamantala ng PoC.
Isang Stealthier at Mas Advanced na Variant
Ang variant ng Aquabot na kasangkot sa mga pag-atake na ito ay lumilitaw na ang ikatlong pag-ulit ng malware. Ipinakilala nito ang isang nobelang 'report_kill' na function, na nag-uulat pabalik sa Command-and-Control (C2) server sa tuwing tatapusin ang proseso ng botnet. Gayunpaman, walang katibayan na ang function na ito ay nag-trigger ng anumang agarang tugon mula sa server.
Bilang karagdagan, ang bagong variant ay nagpapakilala sa sarili bilang 'httpd.x86' upang maiwasan ang pagtuklas at na-program upang wakasan ang mga partikular na proseso, gaya ng mga lokal na shell. Ang mga pagpipinong ito ay nagmumungkahi ng mga pagsisikap na gawing mas umiiwas ang Aquabot at posibleng makakita ng nakikipagkumpitensyang aktibidad ng botnet.
Selling Access: Ang Underground DDoS-for-Hire Operation
Itinuturo ng mga palatandaan ang mga banta ng aktor sa likod ng Aquabot na nag-aalok ng kanilang botnet bilang isang serbisyo ng DDoS sa Telegram. Gumagana ang mga ito sa ilalim ng mga alias gaya ng Cursinq Firewall, The Eye Services, at The Eye Botnet, na gumagamit ng mga nakompromisong host upang magbigay ng mga kakayahan sa pag-atake sa mga nagbabayad na customer.
Ang Mas Malaking Larawan: Ang Nagtatagal na Banta ni Mirai
Ang muling pagkabuhay ng mga pagbabanta na nakabase sa Mirai tulad ng Aquabot ay nagtatampok sa patuloy na mga panganib na nauugnay sa mga device na nakakonekta sa internet. Marami sa mga device na ito ang dumaranas ng hindi sapat na seguridad, lumang software, o mga default na kredensyal, na ginagawa itong madaling mga target para sa pagsasamantala.
Isang Mapanlinlang na Katwiran mula sa mga Attacker
Madalas sinasabi ng mga banta ng aktor na ang kanilang mga botnet operation ay para lamang sa pagsubok o mga layuning pang-edukasyon, na sinusubukang linlangin ang mga mananaliksik at tagapagpatupad ng batas. Gayunpaman, ang karagdagang pagsusuri ay madalas na naghahayag ng kanilang mga tunay na intensyon—nag-aalok ng mga serbisyo ng DDoS o hayagang ipinagmamalaki ang kanilang mga aktibidad sa botnet sa mga underground na forum at Telegram channel.
