Pastebėtas naujas „Mirai“ pagrindu sukurto „Botnet“ kenkėjiškos programos „Aquabot“ variantas aktyviai išnaudojant CVE-2024-41710-komandų injekcijos pažeidžiamumą „Mitel SIP“ telefonuose.
Veiklą atrado „Akamai“ saugumo žvalgybos ir reagavimo komanda (SIRT), kuri praneša, kad tai yra trečiasis „Aquabot“ variantas, patenkantis į jų radarą.
Kenkėjiškų programų šeima buvo pristatyta 2023 m., O antroji versija, kuri pridėjo atkaklumo mechanizmus, buvo išleista vėliau. Trečiasis variantas „AQUABOTV3“ pristatė sistemą, kuri nustato nutraukimo signalus ir siunčia informaciją į komandų ir valdymo (C2) serverį.
„Akamai“ komentuoja, kad „Aquabotv3“ mechanizmas pranešti apie žudymo bandymus yra neįprasta, kad botnets būtų pridėta, kad jos operatoriams būtų suteikta geriau stebėti.

Šaltinis: ATRESS
Nukreipimas į „Mitel“ telefonus
CVE-2024-41710 yra komandų įpurškimo trūkumas, paveikiantis „Mitel 6800“ serijos, 6900 serijos ir 6900W serijos SIP telefonus, paprastai naudojamus įmonių biuruose, įmonėse, vyriausybinėse agentūrose, ligoninėse, švietimo institutuose, viešbučiuose ir finansų įstaigose.
Tai yra vidutinio sunkumo yda, leidžianti autentifikuotam užpuolikui, turinčiam administratoriaus privilegijas, atlikti argumentų injekcijos ataką dėl nepakankamo parametrų sanitarijos perkrovos proceso metu, todėl įvykdoma savavališka komanda.
2024 m. Liepos 17 d. „Mitel“ išleido pataisas ir patarimą dėl šio trūkumo, ragindami vartotojus atnaujinti. Po dviejų savaičių saugumo tyrinėtojas Kyle'as Burnsas paskelbė koncepcijos įrodymą (POC) „GitHub“.
„Aquabotv3“ šio POC panaudojimas „CVE-2024-41710“ išnaudojimui atakose yra pirmasis dokumentais patvirtintas atvejis, kai šis pažeidžiamumas pasitelkė.
„Akamai SIRT 2025 m. Sausio mėn. Pradžioje nustatė, kad išnaudojimo bandymai buvo nukreipti į šį pažeidžiamumą per mūsų pasaulinį„ Honeypots “tinklą, naudodamas beveik identišką naudingą apkrovą POC“, – aiškina tyrėjai.
Tai, kad atakoms reikalingas autentifikavimas, rodo, kad kenkėjiškų programų botnet naudoja brutalą, kad gautų pradinę prieigą.
Užpuolikai pateikia HTTP POST užklausą, nukreiptą į pažeidžiamą galutinį tašką 8021xSupport.html, atsakingą už 802,1x autentifikavimo parametrus „Mitel SIP“ telefonuose.
Programa netinkamai apdoroja vartotojo įvestį, leisdama įterpti netinkamai pateiktus duomenis į vietinę telefono konfigūraciją (/nvdata/etc/local.cfg).
Įvertindami linijinius simbolius ( %dt → %0d), užpuolikai manipuliuoja, kaip konfigūracijos failas analizuojamas įrenginio įkrovos metu, kad iš savo serverio vyktų nuotolinio apvalkalo scenarijus (bin.sh).
Šis scenarijus atsisiunčia ir įdiegia „Aquabot“ naudingą apkrovą apibrėžtai architektūrai (x86, ARM, MIPS ir kt.), Nustato savo vykdymo leidimus naudodamas „CHMOD 777“ ir tada išvalo visus pėdsakus.
„Aquabotv3“ veikla
Kai bus užtikrintas atkaklumas, „Aquabotv3“ prisijungia prie savo C2 per TCP, kad gautų instrukcijas, užpultų komandas, atnaujinimus ar papildomus naudingus krovinius.
Toliau bandoma skleisti kitus IoT įrenginius, naudodamas „Mitel Exploit“, CVE-2018-17532 (TP-LINK), CVE-2023-26801 (IOT programinė įranga RCE), CVE-2022-31137 (žiniatinklio programa), „Linksys E“, „Linksys E“ -Serijos RCE, Hadoop verpalai ir CVE-2018-10562 / CVE-2018-10561 („Dasan“ maršrutizatoriaus klaidos).
Kenkėjiška programinė įranga taip pat bando sušvelninti jėgos numatytąjį ar silpną SSH/„Telnet“ kredencialą, kad galėtų plisti į blogai saugius įrenginius tame pačiame tinkle.
„Aquabotv3“ tikslas yra įdarbinti įrenginius į savo paskirstymo paslaugų paneigimo (DDoS) spiečius ir naudoti juos TCP SYN, TCP ACK, UDP, GRE IP ir programų sluoksnio atakoms atlikti.
„Botnet“ operatorius reklamuoja savo „DDoS“ galimybes telegramoje pagal pavadinimus „Cursinq“ ugniasienė, „Eye Services“ ir „Eye Botnet“, pristatant jį kaip DDOS mažinimo priemonių bandymo įrankį.
Akamai išvardijo kompromiso (TOC), susijusių su „Aquabotv3“, rodiklius, taip pat Snort ir Yara taisykles kenkėjiškų programų aptikimo taisyklėms, jo ataskaitos apačioje.