Akamai’nin Güvenlik İstihbaratı ve Müdahale Ekibi (SIRT), Mirai merkezli Botnet kötü amaçlı yazılımının AquAabotV3 olarak adlandırılan ve Mitel SIP telefonlarını kritik bir güvenlik açığı aracılığıyla aktif olarak hedefleyen yeni bir varyantını ortaya çıkardı.
Bu, daha önce Mirai türevlerinde görülmemiş benzersiz yetenekleri sergileyen üçüncü gözlemlenen Aquabot yinelemesini işaret ediyor.
Kötü amaçlı yazılım, etkilenen cihazlarda yetkisiz kök erişimi elde etmek için 2014 ortalarında açıklanan bir komut enjeksiyon güvenlik açığı olan CVE-2024-41710’dan yararlanır.
AquABOTV3 alışılmadık bir özellik sunar: enfekte cihazlarda Sigterm veya Sigkill gibi fesih sinyallerini aldıktan sonra komut ve kontrol (C2) sunucularını bilgilendiren bir “Report_Kill” mekanizması.
Bu ekleme botnet izlemeyi veya esnekliği artırabilirken, gerçek amacı spekülatif kalır.
Aquabotv3’ün etkinliği, tehdit aktörleri tarafından kötü amaçlı yazılımları iyileştirilmiş operasyonel etkinlik için hassaslaştırmak için gelişen bir stratejinin altını çiziyor.
Kötü amaçlı yazılım yayılımı
İstismar edilen güvenlik açığı, CVE-2024-41710, Mitel’in 6970 konferans birimi de dahil olmak üzere 6800, 6900 ve 6900W serisi SIP telefonlarını etkiliyor ve ürün yazılımı sürümleri R6.4.0.hf1’e kadar.
Kusur, uygunsuz girdi sterilizasyonundan kaynaklanır ve saldırganların hazırlanmış HTTP sonrası istekleri aracılığıyla kötü niyetli yükler enjekte etmesine izin verir.
2014’ün ortalarında araştırmacı Kyle Burns tarafından halka açık bir kavram kanıtı (POC), bir saldırganın önyükleme işlemi sırasında keyfi kod yürütmek için nasıl manipüle edebileceğini gösterdi.
Ocak 2025’in başlarında Akamai’nin küresel Honeypot ağı, POC yüküne benzeyen aktif sömürü girişimlerini tespit etti.
Kötü amaçlı yazılım, X86, ARM ve MIP’ler dahil olmak üzere birden fazla mimariyle uyumlu Aquabot ikili dosyalarını geri alan bir komut dosyası olan “bin.sh” i indirmek ve yürütmek için bu güvenlik açıklarından yararlanır.
Gelişmiş özellikler ve hedef genişleme
AquABOTV3, sofistike algılama kaçınma teknikleri sunarken temel DDOS saldırı yeteneklerini korur.
Örneğin, sonlandırma girişimlerini engellemek için süreç yeniden adlandırma ve sinyal işleme kullanır.
Ayrıca, sağlam bağlantı sağlayarak birden fazla C2 altyapı uç noktasıyla iletişim kurar.
Ayrıca, kötü amaçlı yazılım, ayak izini genişletmek için Hadoop iplik kusurları (CVE-2018-17532) ve diğer IoT cihaz zayıflıkları dahil olmak üzere diğer güvenlik açıklarından yararlanır.
Gözlenen yükler, Mirai varyantlarının çeşitli savunmasız sistemlere dağıtılmasına odaklanmayı gösterir.
Mirai türevleri için olağandışı olan AquAbotV3’ün benzersiz sinyal işleme ve C2 raporlama işlevleri, saldırganların kontrol kesintilerini izlemelerini veya gelecekteki yinelemelerde kötü amaçlı yazılım gizliliğini artırmasını sağlayabilir.
Bununla birlikte, C2 sunucuları ile sürekli iletişimi, potansiyel olarak savunuculara azaltma çabalarına yardımcı olarak varlığını ortaya çıkarabilir.
AquABOTV3, Mirai tabanlı kötü amaçlı yazılımların IoT ekosistemlerine, özellikle zayıf güvenlik konfigürasyonlarına sahip cihazlara getirdiği kalıcı tehdidi yeniden teyit eder.
Ortaya çıkması, kuruluşların ürün yazılımı güncellemelerine öncelik vermesi, giriş sterilizasyonunu güçlendirmesi ve eski sistemlerin yerini alması için acil ihtiyacını vurgular.
IoT cihazlarındaki varsayılan kimlik bilgilerini değiştirmek gibi basit önlemler, bu tür saldırılara maruz kalmayı önemli ölçüde azaltabilir.
DDOS saldırıları kazançlı bir siber suç stratejisi olarak kaldıkça Akamai, Aquabot gibi botnetlerin Telegram da dahil olmak üzere yeraltı platformlarında “Hizmet Olarak DDOS” olarak pazarlandığı konusunda uyarıyor.
Güvenlik ekipleri, uzlaşma göstergelerini (IOCS) izlemeye ve anomali algılama sistemleri ve güvenlik duvarı kuralı güncellemeleri gibi proaktif savunmaları dağıtmaya teşvik edilir.
Akamai, bu tehdidin sürekli gözetimini garanti eder ve siber güvenlik topluluğunu bilgilendirmek için araştırmasını düzenli olarak günceller.
SOC/DFIR ekiplerinden misiniz? -kötü amaçlı yazılım dosyalarını ve bağlantılarını herhangi biriyle analiz edin. Run Sandox -> Ücretsiz dene