Dublajlı bir Mirai Botnet varyantı Subabağı Mitel telefonları etkileyen orta şiddetli bir güvenlik kusurunu aktif olarak kullanmaya çalıştığı gözlemlenmiştir.
Söz konusu güvenlik açığı, önyükleme işleminde, kötü amaçlı bir aktörün telefon bağlamında keyfi komutlar yürütmesine izin verebilecek bir komut enjeksiyon vakası olan CVE-2024-41710 (CVSS skoru: 6.8).
Mitel 6800 Serisi, 6900 Serisi, 6900W Serisi SIP telefonları ve Mitel 6970 Konferans Birimini etkiler. 2024 Temmuz ortalarında Mitel tarafından ele alındı. Kusur için bir kavram kanıtı (POC) istismarı Ağustos ayında halka açık hale geldi.
CVE-2024-41710 dışında, BOTNET tarafından hedeflenen diğer bazı güvenlik açıkları arasında CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137, CVE-2023-26801 ve A Uzaktan Kod Yürütme Kusurunu Hedefleme Linksys e-Serisi cihazlar.
Akamai araştırmacıları Kyle Lefton ve Larry Cashdollar, “Aquabot, Mirai çerçevesinden dağıtılmış hizmet reddi (DDOS) hedefiyle inşa edilen bir botnet.” Dedi. “Kasım 2023’ten beri biliniyor.”
Web Altyapı Şirketi, Ocak 2025’in başından beri CVE-2024-41710’a karşı aktif sömürü girişimlerini tespit ettiğini ve saldırıların BOTNET kötü amaçlı yazılımlarını dağıtmak için “POC ile neredeyse aynı yükü” yansıttığını söyledi.
Saldırı, farklı CPU mimarileri için Aquabot’u almak için “Wget” komutunu kullanan bir kabuk komut dosyası yürütmeyi içerir.
Saldırıda tespit edilen Aquabot Mirai varyantının kötü amaçlı yazılımın üçüncü bir yinelemesi olduğu değerlendirildi ve enfekte olmuş bir öldürme sinyali yakalandığında komut ve kontrol (C2) sunucusuna geri dönen yeni bir “Report_Kill” işlevi sundu. cihaz. Ancak, bu bilgilerin gönderilmesinin sunucudan bugüne kadar herhangi bir yanıt vermediği bulunmamıştır.
Bu yeni sürüm, belirli sinyalleri tespit ettikten sonra C2 iletişimini tetiklemenin yanı sıra, dikkat çekmekten kaçınmak için kendisini “httpd.x86” olarak yeniden adlandırır ve yerel kabuklar gibi belirli gereksinimlere uygun süreçleri sonlandırmak için programlanmıştır. Sinyal taşıma özelliklerinin muhtemelen daha gizli varyantlar oluşturmak veya rakip botnetlerden kötü niyetli aktivite tespit etmek için dahil edildiğinden şüpheleniliyor.
Aquabot’un arkasındaki tehdit aktörlerinin, Monikers Cursinq güvenlik duvarı, göz hizmetleri ve göz botnet altında telgrafta bir DDOS hizmeti olarak uzlaşmış ana bilgisayar ağını sunduğunu gösteren bazı kanıtlar var.
Geliştirme, Mirai’nin genellikle uygun güvenlik özelliklerine sahip olmayan veya ömrünün sonuna ulaşmış veya varsayılan yapılandırma ve şifrelerle erişilebilir sola ulaşan çok çeşitli İnternet bağlantılı cihazları rahatsız etmeye devam ettiğinin bir işaretidir. sömürü ve DDOS saldırıları için anahtar bir kanal için.
Araştırmacılar, “Tehdit aktörleri genellikle BOTNET’in yalnızca DDOS azaltma test amaçları için araştırmacıları veya kolluk kuvvetlerini yanıltmaya çalışmak için kullanıldığını iddia ediyorlar.” Dedi.
“Tehdit aktörleri bunun sadece bir POC veya bir başka eğitim olduğunu iddia edecekler, ancak daha derin bir analiz, aslında DDO’ların bir hizmet olarak reklamını yaptıklarını veya sahiplerinin kendi botnetlerini telgrafta yürütme konusunda övündüklerini gösteriyor.”