Ботнет Aquabot
Було виявлено, що варіант ботнету на основі Mirai, відомий як Aquabot, активно намагається використати недолік безпеки, що впливає на телефони Mitel. Зловмисники прагнуть інтегрувати ці пристрої в ботнет, здатний запускати атаки розподіленої відмови в обслуговуванні (DDoS).
Зміст
Вразливість у фокусі: CVE-2024-41710
Цільова помилка безпеки, CVE-2024-41710, має оцінку CVSS 6,8 і походить від уразливості ін’єкції команди в процесі завантаження. Цей недолік може дозволити зловмисникам виконувати довільні команди в операційному середовищі телефону.
Уражені пристрої та деталі виправлення
Уразливість впливає на кілька моделей телефонів Mitel, включаючи SIP-телефони серії 6800, серії 6900, серії 6900w і конференц-блок 6970. Mitel звернувся до проблеми в липні 2024 року, але в серпні став загальнодоступним експлойт для перевірки концепції (PoC), що потенційно відкриває двері для загроз.
Більш ніж одна вразливість у грі
Окрім CVE-2024-41710, було виявлено, що Aquabot націлений на додаткові вразливості, зокрема CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 та CVE-2023-26801. Ботнет також намагався використати помилку віддаленого виконання коду в пристроях Linksys серії E, що вказує на широку зону атаки.
Aquabot: ботнет на базі Mirai з історією
Aquabot — це ботнет, який походить від сумнозвісного фреймворку Mirai і призначений спеціально для здійснення DDoS-атак. Дослідники відстежували його активність з листопада 2023 року, маючи докази безперервної еволюції.
Експлуатація недоліку: механізм атаки
Перші ознаки активного використання CVE-2024-41710 з’явилися на початку січня 2025 року. Зловмисники розгортають зловмисне програмне забезпечення ботнету, виконуючи сценарій оболонки, який отримує загрозливе корисне навантаження за допомогою команди wget. Метод атаки дуже нагадує загальнодоступний експлойт PoC.
Більш прихований і вдосконалений варіант
Варіант Aquabot, задіяний у цих атаках, здається, є третьою ітерацією шкідливого програмного забезпечення. Він представляє нову функцію 'report_kill', яка звітує серверу Command-and-Control (C2) щоразу, коли процес ботнету припиняється. Однак немає доказів того, що ця функція викликає будь-яку негайну відповідь від сервера.
Крім того, новий варіант маскується під «httpd.x86», щоб уникнути виявлення, і запрограмований на завершення певних процесів, таких як локальні оболонки. Ці вдосконалення свідчать про спроби зробити Aquabot більш ухильним і потенційно виявляти конкуруючу активність ботнету.
Продаж доступу: підпільна операція DDoS за найм
Ознаки вказують на те, що Aquabot пропонує свій ботнет як службу DDoS у Telegram. Вони працюють під такими псевдонімами, як Cursinq Firewall, The Eye Services і The Eye Botnet, використовуючи скомпрометовані хости для надання можливостей атак платним клієнтам.
Більша картина: тривала загроза Міраї
Відродження загроз на основі Mirai, таких як Aquabot, підкреслює постійні ризики, пов’язані з пристроями, підключеними до Інтернету. Багато з цих пристроїв страждають від неадекватної безпеки, застарілого програмного забезпечення або облікових даних за замовчуванням, що робить їх легкими мішенями для експлуатації.
Оманливе обґрунтування зловмисників
Зловмисники часто стверджують, що їхні операції ботнету призначені виключно для тестування чи навчання, намагаючись ввести в оману дослідників і правоохоронні органи. Однак подальший аналіз часто виявляє їхні справжні наміри — пропонувати послуги DDoS або відкрито хвалитися своєю діяльністю в ботнеті на підпільних форумах і в каналах Telegram.
