Обнаружена модифицированная версия вредоносного ПО Aquabot, нацеленная на корпоративные телефоны

CyberSecureFox 🦊

Специалисты компании Akamai выявили новую модификацию вредоносного ПО Aquabot, базирующегося на печально известном коде Mirai. Третья версия этого ботнета активно эксплуатирует уязвимость CVE-2024-41710 в SIP-телефонах Mitel, что представляет серьезную угрозу для корпоративного сектора.

Эволюция вредоносного ПО Aquabot

Первая версия Aquabot появилась в 2023 году, а вторая получила механизмы персистентности на зараженных устройствах. Ключевой особенностью третьей версии стала инновационная система мониторинга, отслеживающая попытки деактивации вредоноса и передающая эту информацию на командный сервер — функционал, нетипичный для традиционных ботнетов.

Механизм эксплуатации уязвимости

Уязвимость CVE-2024-41710 затрагивает корпоративные SIP-телефоны Mitel серий 6800, 6900 и 6900w. Атакующие используют брутфорс для получения административного доступа, после чего эксплуатируют уязвимость через эндпоинт 8021xsupport.html. Некорректная обработка пользовательского ввода позволяет внедрять вредоносный код в конфигурационные файлы устройства.

Процесс заражения и распространения

После успешной компрометации устройства, вредонос загружает и устанавливает специализированную версию Aquabot, соответствующую архитектуре целевой системы. Для дальнейшего распространения используется комбинация известных уязвимостей в различных IoT-устройствах, включая:

— CVE-2018-17532 (TP-Link)
— CVE-2023-26801 (IoT прошивки)
— CVE-2022-31137 (Web App RCE)
— Уязвимости в устройствах Linksys и Hadoop YARN

Цели и монетизация

Основное предназначение Aquabot — организация масштабных DDoS-атак различных типов, включая TCP SYN, TCP ACK, UDP и application-layer атаки. Операторы ботнета продвигают свои «услуги» в Telegram под брендами Cursinq Firewall и The Eye Services, маскируя вредоносную деятельность под легитимные инструменты тестирования безопасности.

Для защиты от подобных угроз критически важно своевременно устанавливать обновления безопасности, использовать сложные пароли для административного доступа и регулярно проводить аудит безопасности сетевой инфраструктуры. Особое внимание следует уделить защите IoT-устройств, которые часто становятся легкой мишенью для киберпреступников.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.