Експерти з кібербезпеки компанії Akamai виявили третю версію небезпечного ботнету Aquabot, що базується на коді сумнозвісного шкідливого ПЗ Mirai. Нова модифікація активно експлуатує критичну вразливість CVE-2024-41710 в корпоративних SIP-телефонах Mitel, створюючи серйозну загрозу для бізнес-комунікацій.
Технічний аналіз нової версії Aquabot
Третя ітерація Aquabot демонструє значний еволюційний стрибок порівняно з попередніми версіями, випущеними у 2023 році. Ключовою інновацією стала впроваджена система моніторингу, яка відстежує спроби деактивації шкідливого ПЗ та передає дані на командно-контрольний сервер. Такий механізм захисту від виявлення є нетиповим для традиційних ботнетів та свідчить про високий рівень технічної підготовки зловмисників.
Особливості експлуатації вразливості в пристроях Mitel
Вразливість CVE-2024-41710 впливає на корпоративні SIP-телефони Mitel серій 6800, 6900 та 6900w. Вектор атаки включає автоматизований перебір облікових даних адміністратора з подальшим використанням вразливості через веб-інтерфейс 8021xsupport.html. Некоректна валідація користувацького введення дозволяє впровадити шкідливий код у конфігураційні файли пристрою.
Механізми поширення та інфраструктура ботнету
Після успішного зараження пристрою, Aquabot завантажує спеціалізовану версію шкідливого ПЗ, оптимізовану під конкретну апаратну архітектуру. Для розширення ботнету використовується комплекс вразливостей в різних IoT-пристроях:
– CVE-2018-17532 у маршрутизаторах TP-Link
– CVE-2023-26801 в IoT прошивках
– CVE-2022-31137 для віддаленого виконання коду
– Відомі вразливості в пристроях Linksys та Hadoop YARN
Монетизація та загрози безпеці
Основною метою Aquabot є проведення потужних DDoS-атак різних типів, включаючи TCP SYN, TCP ACK, UDP та атаки прикладного рівня. Оператори ботнету маскують свою діяльність під легітимні сервіси тестування безпеки, просуваючи “послуги” через Telegram під брендами Cursinq Firewall та The Eye Services.
Для захисту корпоративної інфраструктури від загроз, пов’язаних з Aquabot, рекомендується регулярно оновлювати програмне забезпечення, використовувати надійні паролі для адміністративного доступу та проводити систематичний аудит безпеки мережевого обладнання. Особливу увагу слід приділити захисту IoT-пристроїв, які часто стають первинними векторами компрометації корпоративних мереж.
