Aquabot Botnet
Một biến thể botnet dựa trên Mirai, được gọi là Aquabot, đã được phát hiện đang tích cực cố gắng khai thác lỗ hổng bảo mật ảnh hưởng đến điện thoại Mitel. Những kẻ tấn công có mục đích tích hợp các thiết bị này vào một botnet có khả năng phát động các cuộc tấn công Từ chối dịch vụ phân tán (DDoS).
Mục lục
Lỗ hổng được chú ý: CVE-2024-41710
Lỗ hổng bảo mật mục tiêu, CVE-2024-41710, có điểm CVSS là 6,8 và bắt nguồn từ lỗ hổng tiêm lệnh trong quá trình khởi động. Lỗ hổng này có thể cho phép kẻ tấn công thực hiện các lệnh tùy ý trong môi trường hoạt động của điện thoại.
Thiết bị bị ảnh hưởng và Chi tiết bản vá
Lỗ hổng này ảnh hưởng đến nhiều mẫu điện thoại Mitel, bao gồm Dòng 6800, Dòng 6900, Dòng 6900w Điện thoại SIP và Đơn vị hội nghị 6970. Mitel đã giải quyết vấn đề này vào tháng 7 năm 2024, nhưng một bản khai thác bằng chứng khái niệm (PoC) đã được công khai vào tháng 8, có khả năng mở ra cánh cửa cho các tác nhân đe dọa.
Nhiều hơn một điểm yếu trong trò chơi
Ngoài CVE-2024-41710, Aquabot đã được phát hiện nhắm mục tiêu vào các lỗ hổng bổ sung, bao gồm CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 và CVE-2023-26801. Botnet cũng đã cố gắng khai thác lỗ hổng thực thi mã từ xa trong các thiết bị Linksys E-series, cho thấy một bề mặt tấn công rộng.
Aquabot: Một Botnet Dựa trên Mirai có Lịch sử
Aquabot là một botnet bắt nguồn từ nền tảng Mirai khét tiếng, được thiết kế riêng để thực hiện các cuộc tấn công DDoS. Các nhà nghiên cứu đã theo dõi hoạt động của nó kể từ tháng 11 năm 2023, với bằng chứng về sự tiến hóa liên tục.
Khai thác lỗ hổng: Cơ chế tấn công
Những dấu hiệu đầu tiên của việc khai thác tích cực đối với CVE-2024-41710 xuất hiện vào đầu tháng 1 năm 2025. Kẻ tấn công triển khai phần mềm độc hại botnet bằng cách thực thi một tập lệnh shell, lấy lại tải trọng đe dọa bằng lệnh 'wget'. Phương pháp tấn công rất giống với khai thác PoC có sẵn công khai.
Một phiên bản tàng hình và tiên tiến hơn
Biến thể Aquabot liên quan đến các cuộc tấn công này có vẻ là phiên bản thứ ba của phần mềm độc hại. Nó giới thiệu một hàm 'report_kill' mới, hàm này báo cáo lại cho máy chủ Command-and-Control (C2) bất cứ khi nào quy trình botnet bị chấm dứt. Tuy nhiên, không có bằng chứng nào cho thấy hàm này kích hoạt bất kỳ phản hồi ngay lập tức nào từ máy chủ.
Ngoài ra, biến thể mới ngụy trang thành 'httpd.x86' để tránh bị phát hiện và được lập trình để chấm dứt các quy trình cụ thể, chẳng hạn như shell cục bộ. Những cải tiến này cho thấy nỗ lực làm cho Aquabot trở nên lẩn tránh hơn và có khả năng phát hiện hoạt động của botnet cạnh tranh.
Bán quyền truy cập: Hoạt động thuê DDoS ngầm
Các dấu hiệu cho thấy những kẻ đe dọa đứng sau Aquabot cung cấp mạng botnet của chúng như một dịch vụ DDoS trên Telegram. Chúng hoạt động dưới các bí danh như Cursinq Firewall, The Eye Services và The Eye Botnet, tận dụng các máy chủ bị xâm phạm để cung cấp khả năng tấn công cho khách hàng trả tiền.
Bức tranh toàn cảnh: Mối đe dọa dai dẳng của Mirai
Sự trỗi dậy của các mối đe dọa dựa trên Mirai như Aquabot làm nổi bật những rủi ro liên tục liên quan đến các thiết bị được kết nối internet. Nhiều thiết bị trong số này có bảo mật không đầy đủ, phần mềm lỗi thời hoặc thông tin đăng nhập mặc định, khiến chúng trở thành mục tiêu dễ bị khai thác.
Một lời biện minh sai lầm từ những kẻ tấn công
Những kẻ đe dọa thường tuyên bố hoạt động botnet của chúng chỉ nhằm mục đích thử nghiệm hoặc giáo dục, cố gắng đánh lừa các nhà nghiên cứu và cơ quan thực thi pháp luật. Tuy nhiên, các phân tích sâu hơn thường tiết lộ ý định thực sự của chúng—cung cấp dịch vụ DDoS hoặc công khai khoe khoang về hoạt động botnet của chúng trên các diễn đàn ngầm và kênh Telegram.
