Mirai botnet varijanta nazvana Aquabot je primijećena kako aktivno pokušava da iskoristi sigurnosnu grešku srednje ozbiljnosti koja utiče na Mitel telefone kako bi ih uvukla u mrežu sposobnu za montiranje distribuiranih napada uskraćivanja usluge (DDoS).
Ranjivost o kojoj je riječ je CVE-2024-41710 (CVSS rezultat: 6,8), slučaj injekcije komande u procesu pokretanja koja bi mogla dozvoliti malicioznom hakeru da izvrši proizvoljne komande u kontekstu telefona.
Utiče na SIP telefone serije Mitel 6800, seriju 6900, SIP telefone serije 6900w i konferencijsku jedinicu Mitel 6970. Mitel je to riješio sredinom jula 2024. Eksploatacija dokaza o konceptu (PoC) za grešku postala je javno dostupna u avgustu.
Osim CVE-2024-41710, neke od drugih ranjivosti koje cilja botnet uključuju CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137, CVE-201 ciljanje greške u izvršavanju koda na daljinu Linksys E-serije uređaja.
“Aquabot je botnet koji je izgrađen od Mirai okvira s krajnjim ciljem distribuiranog uskraćivanja usluge (DDoS)”, rekli su Akamai istraživači Kyle Lefton i Larry Cashdollar . “Poznato je od novembra 2023.”
Kompanija za web infrastrukturu saopštila je da je otkrila aktivne pokušaje eksploatacije CVE-2024-41710 od početka januara 2025. godine, pri čemu su napadi odražavali “korisno opterećenje gotovo identično PoC-u” za postavljanje zlonamjernog softvera za botnet.
Napad uključuje izvršavanje shell skripte koja, zauzvrat, koristi naredbu “wget” za preuzimanje Aquabota za različite CPU arhitekture.
Varijanta Aquabot Mirai koja je uočena u napadu procijenjena je kao treća iteracija malicioznog softvera, sa novom funkcijom “report_kill” koja izvještava server za komandu i kontrolu (C2) kada se uhvati signal za ubijanje na zaraženom uređaj. Međutim, do danas nije pronađeno da bi slanje ovih informacija izazvalo bilo kakav odgovor od servera.
Ova nova verzija, osim što pokreće C2 komunikaciju nakon otkrivanja određenih signala, preimenuje se u “httpd.x86” kako bi izbjegla privlačenje pažnje i programirana je da prekine procese koji odgovaraju određenim zahtjevima, kao što su lokalne školjke. Sumnja se da su karakteristike rukovanja signalom vjerovatno ugrađene za izradu skrivenijih varijanti ili otkrivanje maliciozne aktivnosti iz konkurentskih botneta.
Postoje neki dokazi koji ukazuju na to da hakeri iza Aquabota nude mrežu kompromitovanih hostova kao DDoS uslugu na Telegramu pod nadimcima Cursinq Firewall, The Eye Services i The Eye Botnet.
Razvoj je znak da Mirai nastavlja da muči širok spektar uređaja povezanih s internetom kojima često nedostaju odgovarajuće sigurnosne karakteristike, ili su dosegli kraj svog životnog vijeka ili su ostavljeni dostupnim sa zadanom konfiguracijom i lozinkama, što ih čini zrelim plodovima. za eksploataciju i ključni kanal za DDoS napade.
“Hakeri obično tvrde da se botnet koristi samo u svrhu testiranja ublažavanja DDoS-a kako bi pokušali obmanuti istraživače ili organe za provođenje zakona”, rekli su istraživači.
“Hakeri će tvrditi da je to samo PoC ili nešto edukativno, ali dublja analiza pokazuje da oni zapravo reklamiraju DDoS kao uslugu, ili se vlasnici hvale da pokreću vlastiti botnet na Telegramu.”
Izvor:THE Hacker News
