Специалисты компании Akamai выявили новую модификацию вредоносного ПО Aquabot, базирующегося на печально известном коде Mirai. Третья версия этого ботнета активно эксплуатирует уязвимость CVE-2024-41710 в SIP-телефонах Mitel, что представляет серьезную угрозу для корпоративного сектора.
Эволюция вредоносного ПО Aquabot
Первая версия Aquabot появилась в 2023 году, а вторая получила механизмы персистентности на зараженных устройствах. Ключевой особенностью третьей версии стала инновационная система мониторинга, отслеживающая попытки деактивации вредоноса и передающая эту информацию на командный сервер — функционал, нетипичный для традиционных ботнетов.
Механизм эксплуатации уязвимости
Уязвимость CVE-2024-41710 затрагивает корпоративные SIP-телефоны Mitel серий 6800, 6900 и 6900w. Атакующие используют брутфорс для получения административного доступа, после чего эксплуатируют уязвимость через эндпоинт 8021xsupport.html. Некорректная обработка пользовательского ввода позволяет внедрять вредоносный код в конфигурационные файлы устройства.
Процесс заражения и распространения
После успешной компрометации устройства, вредонос загружает и устанавливает специализированную версию Aquabot, соответствующую архитектуре целевой системы. Для дальнейшего распространения используется комбинация известных уязвимостей в различных IoT-устройствах, включая:
— CVE-2018-17532 (TP-Link)
— CVE-2023-26801 (IoT прошивки)
— CVE-2022-31137 (Web App RCE)
— Уязвимости в устройствах Linksys и Hadoop YARN
Цели и монетизация
Основное предназначение Aquabot — организация масштабных DDoS-атак различных типов, включая TCP SYN, TCP ACK, UDP и application-layer атаки. Операторы ботнета продвигают свои «услуги» в Telegram под брендами Cursinq Firewall и The Eye Services, маскируя вредоносную деятельность под легитимные инструменты тестирования безопасности.
Для защиты от подобных угроз критически важно своевременно устанавливать обновления безопасности, использовать сложные пароли для административного доступа и регулярно проводить аудит безопасности сетевой инфраструктуры. Особое внимание следует уделить защите IoT-устройств, которые часто становятся легкой мишенью для киберпреступников.
