Aquabot Botnet
Aquabot olarak bilinen Mirai tabanlı bir botnet çeşidi, Mitel telefonlarını etkileyen bir güvenlik açığını aktif olarak istismar etmeye çalışırken tespit edildi. Saldırganlar, bu cihazları Dağıtılmış Hizmet Reddi (DDoS) saldırıları başlatabilen bir botnet'e entegre etmeyi amaçlıyor.
İçindekiler
Odaktaki Güvenlik Açığı: CVE-2024-41710
Hedeflenen güvenlik açığı CVE-2024-41710, 6.8 CVSS puanı taşıyor ve önyükleme sürecindeki bir komut enjeksiyonu açığından kaynaklanıyor. Bu açık, saldırganların telefonun işletim ortamında keyfi komutlar yürütmesine izin verebilir.
Etkilenen Cihazlar ve Yama Ayrıntıları
Güvenlik açığı, 6800 Serisi, 6900 Serisi, 6900w Serisi SIP Telefonları ve 6970 Konferans Birimi dahil olmak üzere birden fazla Mitel telefon modelini etkiliyor. Mitel, sorunu Temmuz 2024'te ele aldı, ancak bir kavram kanıtı (PoC) istismarı Ağustos ayında kamuoyuna açık hale geldi ve potansiyel olarak tehdit aktörleri için kapıyı açtı.
Oyunda Birden Fazla Güvenlik Açığı Var
CVE-2024-41710'un ötesinde, Aquabot'un CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 ve CVE-2023-26801 dahil olmak üzere ek güvenlik açıklarını hedef aldığı gözlemlendi. Botnet ayrıca Linksys E serisi cihazlardaki uzaktan kod yürütme açığından yararlanmaya çalıştı ve bu da geniş bir saldırı yüzeyi olduğunu gösteriyor.
Aquabot: Mirai Tabanlı Bir Botnet ve Geçmişi
Aquabot, DDoS saldırıları yürütmek için özel olarak tasarlanmış, kötü şöhretli Mirai çerçevesinden türetilen bir botnettir. Araştırmacılar, Kasım 2023'ten beri sürekli evrim kanıtıyla etkinliğini izliyorlar.
Kusurun İstismarı: Saldırı Mekanizması
CVE-2024-41710'a karşı aktif istismarın ilk belirtileri Ocak 2025'in başlarında ortaya çıktı. Saldırganlar, 'wget' komutunu kullanarak tehdit edici yükü alan bir kabuk betiğini çalıştırarak botnet kötü amaçlı yazılımını dağıtır. Saldırı yöntemi, herkese açık PoC istismarına oldukça benzer.
Daha Gizli ve Daha Gelişmiş Bir Varyant
Bu saldırılarda yer alan Aquabot varyantı, kötü amaçlı yazılımın üçüncü yinelemesi gibi görünüyor. Botnet işlemi sonlandırıldığında Komuta ve Kontrol (C2) sunucusuna geri bildirimde bulunan yeni bir 'report_kill' işlevi sunuyor. Ancak, bu işlevin sunucudan herhangi bir anında yanıt tetiklediğine dair bir kanıt yok.
Ek olarak, yeni varyant, tespit edilmekten kaçınmak için kendini 'httpd.x86' olarak gizler ve yerel kabuklar gibi belirli süreçleri sonlandırmak üzere programlanır. Bu iyileştirmeler, Aquabot'u daha kaçamak hale getirme ve potansiyel olarak rekabet eden botnet aktivitesini tespit etme çabalarını göstermektedir.
Erişim Satışı: Yeraltı DDoS-kiralama Operasyonu
İşaretler, Aquabot'un arkasındaki tehdit aktörlerinin botnetlerini Telegram'da bir DDoS hizmeti olarak sunduklarına işaret ediyor. Cursinq Firewall, The Eye Services ve The Eye Botnet gibi takma adlar altında faaliyet gösteriyorlar ve ödeme yapan müşterilere saldırı yetenekleri sağlamak için tehlikeye atılmış ana bilgisayarları kullanıyorlar.
Daha Büyük Resim: Mirai'nin Süregelen Tehdidi
Aquabot gibi Mirai tabanlı tehditlerin yeniden canlanması, internete bağlı cihazlarla ilişkili devam eden riskleri vurgulamaktadır. Bu cihazların çoğu yetersiz güvenlik, güncel olmayan yazılım veya varsayılan kimlik bilgilerinden muzdariptir ve bu da onları istismar için kolay hedefler haline getirir.
Saldırganların Yanıltıcı Bir Gerekçesi
Tehdit aktörleri genellikle botnet operasyonlarının yalnızca test veya eğitim amaçlı olduğunu iddia ederek araştırmacıları ve kolluk kuvvetlerini yanıltmaya çalışırlar. Ancak, daha fazla analiz sıklıkla gerçek niyetlerini ortaya çıkarır: DDoS hizmetleri sunmak veya yeraltı forumlarında ve Telegram kanallarında botnet faaliyetleri hakkında açıkça övünmek.
