UN Botnet Mirai Variante soprannominata Aquabot è stato osservato attivamente nel tentativo di sfruttare un difetto di sicurezza di media precisione che ha un impatto sui telefoni di mitel al wonderful di non farli sì che li in una rete in grado di montare gli attacchi di negazione distribuita (DDoS).
La vulnerabilità in questione è CVE-2024-41710 (Punteggio CVSS: 6.8), un caso di iniezione di comandi nel processo di avvio che potrebbe consentire a un attore dannoso di eseguire comandi arbitrari nel contesto del telefono.
Colpisce Serie MITEL 6800, Serie 6900, Serie 6900 W Telefoni SIP e unità di conferenza Mitel 6970. Period indirizzato da Mitel a metà luglio 2024. Un exploit di prova (POC) per il difetto divenne disponibile al pubblico advert agosto.
Al di fuori del CVE-2024-41710, alcune delle altre vulnerabilità mirate dalla botnet includono CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137, CVE-2023-26801 e A Esecuzione del codice remoto Flaw Concentrating on Dispositivi Serie E-Serie di Linksys.
“Aquabot è una botnet che è stata costruita al largo del framework Mirai con l’obiettivo finale di Distributed Denial of Service (DDOS)”, i ricercatori di Akamai Kyle Left e Larry Cashdollar disse. “È stato conosciuto Dal novembre 2023. “
La società di infrastrutture Net ha dichiarato di aver rilevato tentativi di sfruttamento attivo contro CVE-2024-41710 dall’inizio di gennaio 2025, con gli attacchi che rispecchiano un “carico utile quasi identico al POC” per distribuire il malware botnet.
L’attacco prevede l’esecuzione di uno script di shell che, a sua volta, utilizza il comando “WGET” per recuperare Aquabot per various architetture CPU.
La variante Aquabot Mirai individuata nell’attacco è stata valutata come una terza iterazione del malware, sfoggiando una nuova funzione “report_kill” che riporta al server di comando e controllo (C2) quando un segnale di uccisione viene catturato dall’infetto dispositivo. Tuttavia, l’invio di queste informazioni non è stato riscontrato che fino advert oggi non ha ottenuto alcuna risposta dal server.
Questa nuova versione, oltre a innescare la comunicazione C2 al momento del rilevamento di determinati segnali, si rinomina su “Httpd.x86” per evitare di attirare l’attenzione ed è programmata per terminare i processi che corrispondono a determinati requisiti, come le conchiglie locali. Si sospetta che le caratteristiche di gestione del segnale siano probabilmente incorporate per creare varianti più furtive o rilevare attività dannose da botnet in competizione.
Ci sono alcune show che suggeriscono che gli attori delle minacce dietro Aquabot offrono la rete di ospiti compromessi come servizio DDOS su Telegram sotto i moniker Cursinq Firewall, The Eye Providers e The Eye Botnet.
Lo sviluppo è un segno che Mirai continua a affliggere una vasta gamma di dispositivi collegati a Web che spesso mancano di caratteristiche di sicurezza adeguate o hanno raggiunto la wonderful della vita o lasciato accessibile con configurazione predefinita e password, rendendoli a bassa pressione. per lo sfruttamento e un condotto chiave per gli attacchi DDoS.
“Gli attori delle minacce sostengono comunemente che la botnet è utilizzata solo per scopi di check di mitigazione DDOS per cercare di fuorviare i ricercatori o le forze dell’ordine”, hanno affermato i ricercatori.
“Gli attori delle minacce affermeranno che è solo un POC o qualcosa di educativo, ma un’analisi più profonda mostra che in realtà stanno pubblicizzando DDO come servizio, o i proprietari si vantano di gestire la propria botnet su Telegram.”
