Aquabot 僵尸网络
一种基于 Mirai 的僵尸网络变体 Aquabot 被发现正在积极尝试利用影响 Mitel 手机的安全漏洞。攻击者的目标是将这些设备集成到能够发起分布式拒绝服务 (DDoS) 攻击的僵尸网络中。
目录
重点漏洞:CVE-2024-41710
此次攻击的安全漏洞 CVE-2024-41710 的 CVSS 评分为 6.8,源自启动过程中的命令注入漏洞。此漏洞可能允许攻击者在手机的操作环境中执行任意命令。
受影响的设备和补丁详细信息
该漏洞影响多种 Mitel 电话型号,包括 6800 系列、6900 系列、6900w 系列 SIP 电话和 6970 会议单元。Mitel 于 2024 年 7 月解决了该问题,但概念验证 (PoC) 漏洞于 8 月公开,可能为威胁行为者打开大门。
游戏中存在多个漏洞
除了 CVE-2024-41710 之外,Aquabot 还被发现针对其他漏洞,包括 CVE-2018-10561、CVE-2018-10562、CVE-2018-17532、CVE-2022-31137 和 CVE-2023-26801。该僵尸网络还试图利用 Linksys E 系列设备中的远程代码执行漏洞,这表明其攻击面很广。
Aquabot:一个基于 Mirai 的僵尸网络
Aquabot 是一个源自臭名昭著的Mirai框架的僵尸网络,专门用于执行 DDoS 攻击。研究人员自 2023 年 11 月以来一直在追踪其活动,有证据表明该网络在不断发展。
利用漏洞:攻击机制
2025 年 1 月初,首次出现了针对 CVE-2024-41710 的主动利用迹象。攻击者通过执行 shell 脚本来部署僵尸网络恶意软件,该脚本使用“wget”命令检索威胁负载。攻击方法与公开的 PoC 漏洞非常相似。
更隐蔽、更先进的变体
参与这些攻击的 Aquabot 变体似乎是该恶意软件的第三次迭代。它引入了一个新颖的“report_kill”函数,每当僵尸网络进程终止时,该函数都会向命令和控制 (C2) 服务器报告。但是,没有证据表明此功能会触发服务器的任何即时响应。
此外,新变种将自己伪装成“httpd.x86”以避免被发现,并被编程为终止特定进程,例如本地 shell。这些改进表明,Aquabot 正在努力提高其规避能力,并可能检测到竞争僵尸网络活动。
出售访问权限:地下 DDoS 攻击活动
有迹象表明,Aquabot 背后的威胁行为者在 Telegram 上以 DDoS 服务的形式提供其僵尸网络。他们使用 Cursinq Firewall、The Eye Services 和 The Eye Botnet 等别名进行操作,利用受感染的主机向付费客户提供攻击能力。
更大的图景:Mirai 的挥之不去的威胁
基于 Mirai 的威胁(如 Aquabot)的卷土重来凸显了与互联网连接设备相关的持续风险。许多此类设备存在安全性不足、软件过时或默认凭证不足的问题,因此很容易成为攻击目标。
攻击者的误导性辩解
威胁者经常声称他们的僵尸网络操作纯粹是为了测试或教育目的,试图误导研究人员和执法部门。然而,进一步的分析往往会揭示他们的真实意图——提供 DDoS 服务或在地下论坛和 Telegram 频道上公开吹嘘他们的僵尸网络活动。
