Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Ботнет Aquabot нашел хитрый путь к корпоративным сетям

29/01/25

hack216

Команда Akamai SIRT обнаружила третью версию ботнета Aquabot, основанного на коде Mirai, который активно эксплуатирует уязвимость CVE-2024-41710 в SIP-телефонах Mitel. Ошибка позволяет получить root-доступ к устройству через уязвимые конфигурационные файлы, пишут в Securitylab.

Aquabot впервые был зафиксирован в ноябре 2023 года и с тех пор эволюционировал. Первая версия повторяла базовый функционал Mirai, вторая получила механизмы сокрытия и предотвращения перезагрузки, а третья включает новую для этого типа ботнетов функцию — отправку сигналов на C2-сервер при попытках завершения работы вредоноса. Исследователи отмечают, что пока не зафиксировали ответной реакции C2 на сигналы.

Уязвимость CVE-2024-41710, выявленная в SIP-телефонах Mitel серий 6800, 6900 и 6900w, связана с недостаточной фильтрацией входных данных. Она была публично раскрыта в июле 2024 года, а в августе был опубликован PoC, демонстрирующий возможность выполнения произвольного кода. В ходе атаки злоумышленники отправляют специально сформированный HTTP POST-запрос, позволяющий модифицировать локальный конфигурационный файл телефона и выполнить код при загрузке устройства.

Первая зафиксированная эксплуатация уязвимости произошла в январе 2025 года, когда Akamai SIRT обнаружила попытки атак через свою сеть honeypot-систем. Ботнет использует скачивание и запуск скрипта bin.sh с дальнейшей загрузкой и выполнением файлов Mirai под различные архитектуры (x86, ARM, MIPS и другие). Это подтверждает принадлежность Aquabot к семейству Mirai.

В коде Aquabotv3 обнаружена новая функция defend_binary(), которая перехватывает сигналы завершения процессов SIGTERM, SIGINT и SIGKILL и сообщает об этом C2-серверу через TCP-соединение. Такой механизм может использоваться операторами для мониторинга активности антивирусных программ или конкурирующих ботнетов, а также для будущих усовершенствований вредоноса.

Кроме телефонов Mitel, ботнет атакует уязвимые устройства с помощью известных уязвимостей, включая Hadoop YARN, Linksys E-series RCE и CVE-2023-26801. Во всех случаях вредонос использует загрузку скрипта для распространения Aquabot на новые устройства.

Исследователи также обнаружили, что Aquabot продвигается как услуга DDoS-атак в Telegram под различными названиями – Cursinq Firewall и The Eye Services. Хотя операторы заявляют, что ботнет предназначен для тестирования DDoS-защиты, анализ показал активное распространение вредоносного кода.

Специалисты рекомендуют владельцам устройств Mitel немедленно обновить прошивку, изменить стандартные пароли и провести аудит подключенных IoT-устройств. Поскольку Aquabot использует широко известные уязвимости, своевременные обновления и усиление мер безопасности могут значительно снизить риск заражения.

Темы:УгрозыMiraiботнетТелефонияAkamai
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...