Een Mirai botnet -variant nagesynchroniseerd Aquabot is waargenomen om actief te proberen een beveiligingsfout met medium-ernstige beveiliging te exploiteren die invloed heeft op Mitel-telefoons om hen in een netwerk te verstrekken dat in staat is om gedistribueerde Denial-of-Service (DDOS) -aanvallen te monteren.
De kwetsbaarheid in kwestie is CVE-2024-41710 (CVSS-score: 6.8), een geval van commando-injectie in het opstartproces waarmee een kwaadwillende acteur willekeurige opdrachten binnen de context van de telefoon kan uitvoeren.
Het beïnvloedt Mitel 6800 -serie, 6900 -serie, 6900W -serie SIP -telefoons en Mitel 6970 Conference Unit. Het werd geadresseerd door Mitel medio juli 2024. Een proof-of-concept (POC) exploit voor de fout werd publiekelijk beschikbaar in augustus.
Buiten CVE-2024-41710 zijn enkele van de andere kwetsbaarheden die zijn gericht door de BOTNet, CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137, CVE-2023-26801 en A Remote code uitvoeringsfout targeting Linksys e-serie apparaten.
“Aquabot is een botnet dat werd gebouwd voor het Mirai-framework met het ultieme doel van gedistribueerde Denial-of-Service (DDOS),” zeiden Akamai-onderzoekers Kyle Lefton en Larry Cashdollar. “Het is bekend sinds november 2023.”
Het webinfrastructuurbedrijf zei dat het sinds begin januari 2025 actieve exploitatiepogingen tegen CVE-2024-41710 detecteerde, waarbij de aanvallen een “payload weerspiegelen die bijna identiek aan de POC is” om de Botnet-malware te implementeren.
De aanval omvat het uitvoeren van een shell -script dat op zijn beurt de opdracht “wget” gebruikt om Aquabot op te halen voor verschillende CPU -architecturen.
De Aquabot Mirai-variant die in de aanval is opgevolgd, is beoordeeld als een derde iteratie van de malware, met een nieuwe “Report_Kill” -functie die teruggaat op de command-and-control (C2) -server wanneer een kill-signaal wordt gevangen op de geïnfecteerde apparaat. Het verzenden van deze informatie is echter niet gevonden om een reactie van de server tot nu toe op te wekken.
Deze nieuwe versie, naast het activeren van C2 -communicatie bij het detecteren van bepaalde signalen, hernoemt zichzelf naar “httpd.x86” om te voorkomen dat de aandacht wordt getrokken en is geprogrammeerd om processen te beëindigen die overeenkomen met bepaalde vereisten, zoals lokale schelpen. Er wordt vermoed dat de signaalbehandelingsfuncties waarschijnlijk zijn opgenomen om meer heimelijke varianten te maken of kwaadaardige activiteiten te detecteren uit concurrerende botnets.
Er is bewijs dat suggereert dat de dreigingsacteurs achter Aquabot het netwerk van gecompromitteerde hosts aanbieden als een DDOS -service op Telegram onder de monikers cursinq firewall, de oogdiensten en het oogbotnet.
De ontwikkeling is een teken dat Mirai een breed scala aan apparaten met internetverbinding blijft pesten die vaak geen juiste beveiligingsfuncties hebben, of ofwel het einde van de levensduur hebben bereikt of toegankelijk zijn gelaten met standaardconfiguratie en wachtwoorden, waardoor ze lowhangend fruit rijp zijn voor uitbuiting en een belangrijke leiding voor DDoS -aanvallen.
“Dreigingsactoren beweren meestal dat het botnet alleen wordt gebruikt voor het beperken van DDoS -testdoeleinden om te proberen onderzoekers of wetshandhaving te misleiden,” zeiden de onderzoekers.
“Dreigingsacteurs zullen beweren dat het gewoon een POC is of iets educatiefs, maar een diepere analyse laat zien dat ze in feite DDO’s adverteren als een service, of dat de eigenaren opscheppen over het runnen van hun eigen botnet op telegram.”
