Aquabot 殭屍網絡

一種基於 Mirai 的殭屍網路變體（稱為 Aquabot）已被偵測到正在積極嘗試利用影響 Mitel 手機的安全漏洞。攻擊者的目標是將這些裝置整合到能夠發動分散式阻斷服務 (DDoS) 攻擊的殭屍網路中。

重點漏洞：CVE-2024-41710

此安全漏洞 CVE-2024-41710 的 CVSS 評分為 6.8，源自於啟動過程中的命令注入漏洞。該漏洞可能允許攻擊者在手機的操作環境中執行任意命令。

受影響的設備和補丁詳細信息

此漏洞影響多種 Mitel 電話型號，包括 6800 系列、6900 系列、6900w 系列 SIP 電話和 6970 會議單元。 Mitel 於 2024 年 7 月解決了這個問題，但概念驗證 (PoC) 漏洞於 8 月公開，可能為威脅行為者打開大門。

遊戲中存在多個漏洞

除了 CVE-2024-41710 之外，Aquabot 也被發現針對其他漏洞，包括 CVE-2018-10561、CVE-2018-10562、CVE-2018-17532、CVE-2022-31137 和 CVE-2023-268023。該殭屍網路還試圖利用 Linksys E 系列設備中的遠端程式碼執行漏洞，這表明其攻擊面很廣。

Aquabot：一個基於 Mirai 的殭屍網絡

Aquabot 是一個源自臭名昭著的Mirai框架的殭屍網絡，專門用於執行 DDoS 攻擊。研究人員自 2023 年 11 月以來一直在追蹤其活動，並有證據表明其不斷演變。

利用漏洞：攻擊機制

2025 年 1 月初出現了針對 CVE-2024-41710 的主動利用跡象。此攻擊方法與公開的 PoC 漏洞非常相似。

更隱蔽、更先進的變體

參與這些攻擊的 Aquabot 變種似乎是該惡意軟體的第三次迭代。它引入了一種新穎的「report_kill」功能，每當殭屍網路進程終止時，該功能就會向命令和控制（C2）伺服器報告。但是，沒有證據表明此功能會觸發伺服器的任何立即回應。

此外，新變種將自己偽裝成「httpd.x86」以避免被檢測到，並且被編程來終止特定進程，例如本地shell。這些改進表明，Aquabot 的努力將使它更具規避性，並有可能檢測到競爭的殭屍網路活動。

出售存取權限：地下 DDoS 攻擊活動

有跡象表明，Aquabot 背後的威脅行為者在 Telegram 上提供其殭屍網路作為 DDoS 服務。他們使用諸如 Cursinq Firewall、The Eye Services 和 The Eye Botnet 等別名進行運作，利用受感染的主機向付費客戶提供攻擊能力。

更大的圖景：Mirai 的揮之不去的威脅

Aquabot 等基於 Mirai 的威脅的復甦凸顯了與網路連線裝置相關的持續風險。許多此類設備的安全性不足、軟體過時或憑證默認，因此很容易成為攻擊目標。

攻擊者的誤導性辯解

威脅行為者經常聲稱他們的殭屍網路操作純粹是為了測試或教育目的，試圖誤導研究人員和執法部門。然而，進一步的分析常常會揭露他們的真實意圖——提供 DDoS 服務或在地下論壇和 Telegram 頻道公開吹噓他們的殭屍網路活動。