Новая разновидность ботнета Mirai, получившая название Aquabot, активно использует уязвимости в телефонах Mitel и других устройствах для создания сети, предназначенной для проведения DDoS-атак. Aquabot, действующий с ноября 2023 года, является третьей итерацией вредоносного ПО и оснащен новой функцией "report_kill". Для маскировки он переименовывает себя в "httpd.x86" и завершает процессы, соответствующие определенным требованиям. Кроме того, в нем потенциально присутствуют возможности обработки сигналов для маскировки или обнаружения конкурирующих ботнетов.
Основная цель Aquabot – уязвимость CVE-2024-41710 (оценка CVSS: 6.8), представляющая собой внедрение команд в процесс загрузки телефонов Mitel. Эта уязвимость позволяет злоумышленникам выполнять произвольные команды, что достигается с помощью shell-скрипта, использующего команду "wget". Атаке подвержены следующие модели устройств Mitel: телефоны Mitel 6800 Series SIP, Mitel 6900 Series SIP, Mitel 6900w Series SIP, а также конференц-система Mitel 6970. Компания Mitel устранила уязвимость в середине июля 2024 года, однако публичная демонстрация концепции эксплуатации (PoC) стала доступна в августе 2024 года.
Кроме CVE-2024-41710, Aquabot также нацелен на ряд других уязвимостей, включая CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137, CVE-2023-26801 и уязвимость удаленного выполнения кода в устройствах Linksys E-серии. Активные попытки эксплуатации CVE-2024-41710 были зафиксированы с начала января 2025 года. При этом, используется загрузка, практически идентичная PoC, для развертывания вредоносного ПО ботнета.
Злоумышленники, стоящие за Aquabot, предлагают скомпрометированные хосты для DDoS-атак, продвигая свои услуги на платформе Telegram под именами Cursinq Firewall, The Eye Services и The Eye Botnet. Они утверждают, что их ботнет предназначен для тестирования защиты от DDoS или в образовательных целях, но по факту рекламируют его как сервис для DDoS-атак.
Этот случай демонстрирует, что ботнет Mirai остается серьезной проблемой для устройств, подключенных к интернету. Устройства, лишенные необходимых функций безопасности, с устаревшим программным обеспечением или со стандартными настройками и паролями, остаются легкой добычей для злоумышленников, использующих их для эксплуатации и проведения DDoS-атак. Исследователи в области безопасности, такие как Кайл Лефтон и Ларри Кэшдоллар из компании Akamai, продолжают следить за развитием таких ботнетов, но проблема, связанная с уязвимостью IoT-устройств, по-прежнему требует решения.
Изображение носит иллюстративный характер
Основная цель Aquabot – уязвимость CVE-2024-41710 (оценка CVSS: 6.8), представляющая собой внедрение команд в процесс загрузки телефонов Mitel. Эта уязвимость позволяет злоумышленникам выполнять произвольные команды, что достигается с помощью shell-скрипта, использующего команду "wget". Атаке подвержены следующие модели устройств Mitel: телефоны Mitel 6800 Series SIP, Mitel 6900 Series SIP, Mitel 6900w Series SIP, а также конференц-система Mitel 6970. Компания Mitel устранила уязвимость в середине июля 2024 года, однако публичная демонстрация концепции эксплуатации (PoC) стала доступна в августе 2024 года.
Кроме CVE-2024-41710, Aquabot также нацелен на ряд других уязвимостей, включая CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137, CVE-2023-26801 и уязвимость удаленного выполнения кода в устройствах Linksys E-серии. Активные попытки эксплуатации CVE-2024-41710 были зафиксированы с начала января 2025 года. При этом, используется загрузка, практически идентичная PoC, для развертывания вредоносного ПО ботнета.
Злоумышленники, стоящие за Aquabot, предлагают скомпрометированные хосты для DDoS-атак, продвигая свои услуги на платформе Telegram под именами Cursinq Firewall, The Eye Services и The Eye Botnet. Они утверждают, что их ботнет предназначен для тестирования защиты от DDoS или в образовательных целях, но по факту рекламируют его как сервис для DDoS-атак.
Этот случай демонстрирует, что ботнет Mirai остается серьезной проблемой для устройств, подключенных к интернету. Устройства, лишенные необходимых функций безопасности, с устаревшим программным обеспечением или со стандартными настройками и паролями, остаются легкой добычей для злоумышленников, использующих их для эксплуатации и проведения DDoS-атак. Исследователи в области безопасности, такие как Кайл Лефтон и Ларри Кэшдоллар из компании Akamai, продолжают следить за развитием таких ботнетов, но проблема, связанная с уязвимостью IoT-устройств, по-прежнему требует решения.
