Aquabotv3 Botnet: Νέα Απειλή για Mitel SIP Τηλέφωνα

Νέο κακόβουλο λογισμικό botnet Aquabotv3 εκμεταλλεύεται ευπάθεια εντολών στα Mitel SIP τηλέφωνα

Σε αυτό το άρθρο θα δούμε:

Aquabotv3: Μια νέα απειλή για τις συσκευές Mitel

Μια νέα παραλλαγή του botnet κακόβουλου λογισμικού Aquabot, το οποίο βασίζεται στο Mirai, εντοπίστηκε να εκμεταλλεύεται ενεργά την ευπάθεια CVE-2024-41710, μια ευπάθεια έγχυσης εντολών στα τηλέφωνα Mitel SIP.

Η δραστηριότητα αυτή ανακαλύφθηκε από την Ομάδα Ασφάλειας και Ανάλυσης Απειλών (SIRT) της Akamai, η οποία αναφέρει ότι αυτή είναι η τρίτη παραλλαγή του Aquabot που έχει εντοπίσει.

Το Aquabot εμφανίστηκε για πρώτη φορά το 2023, ενώ η δεύτερη έκδοσή του παρουσίασε μηχανισμούς διατήρησης της μόλυνσης. Τώρα, η τρίτη έκδοση, το Aquabotv3, έχει ενσωματώσει ένα νέο σύστημα που ανιχνεύει απόπειρες τερματισμού της λειτουργίας του και αποστέλλει τις πληροφορίες στον διακομιστή εντολών και ελέγχου (C2).

Σύμφωνα με την Akamai, αυτός ο μηχανισμός αναφοράς αποπειρών διακοπής είναι ασυνήθιστος για botnets και πιθανότατα έχει προστεθεί ώστε οι επιτιθέμενοι να έχουν καλύτερη παρακολούθηση της μόλυνσης.

Στόχος τα Mitel SIP τηλέφωνα

Η ευπάθεια CVE-2024-41710 επηρεάζει τα τηλέφωνα Mitel 6800, 6900 και 6900w Series SIP, τα οποία χρησιμοποιούνται σε επιχειρήσεις, κυβερνητικούς οργανισμούς, νοσοκομεία, εκπαιδευτικά ιδρύματα, ξενοδοχεία και τράπεζες.

Πρόκειται για ευπάθεια μεσαίας σοβαρότητας, η οποία επιτρέπει σε έναν αυθεντικοποιημένο επιτιθέμενο με διαχειριστικά προνόμια να πραγματοποιήσει επίθεση έγχυσης παραμέτρων κατά τη διάρκεια της διαδικασίας εκκίνησης, εκτελώντας αυθαίρετες εντολές στο σύστημα.

Η Mitel δημοσίευσε διορθώσεις και προειδοποίηση ασφαλείας για την ευπάθεια στις 17 Ιουλίου 2024, προτρέποντας τους χρήστες να αναβαθμίσουν τις συσκευές τους. Δύο εβδομάδες αργότερα, ο ερευνητής ασφαλείας Kyle Burns δημοσίευσε ένα proof-of-concept (PoC) exploit στο GitHub.

Το Aquabotv3 είναι η πρώτη τεκμηριωμένη περίπτωση εκμετάλλευσης αυτής της ευπάθειας σε πραγματικές επιθέσεις.

Πώς εκμεταλλεύεται την ευπάθεια το Aquabotv3

Η Akamai SIRT εντόπισε απόπειρες εκμετάλλευσης της ευπάθειας μέσω του παγκόσμιου δικτύου honeypots της τον Ιανουάριο του 2025, χρησιμοποιώντας έναν κακόβουλο κώδικα σχεδόν πανομοιότυπο με το PoC.

Δεδομένου ότι η επίθεση απαιτεί αυθεντικοποίηση, το botnet χρησιμοποιεί brute-forcing για να αποκτήσει αρχική πρόσβαση.

Οι επιτιθέμενοι στέλνουν ένα HTTP POST request στο ευάλωτο endpoint 8021xsupport.html, το οποίο είναι υπεύθυνο για τις ρυθμίσεις ελέγχου ταυτότητας 802.1x στις συσκευές Mitel.

Η εφαρμογή δεν επεξεργάζεται σωστά την είσοδο του χρήστη, επιτρέποντας στους επιτιθέμενους να εισάγουν κακόβουλες τιμές στο τοπικό αρχείο ρυθμίσεων του τηλεφώνου (/nvdata/etc/local.cfg).

Εκτέλεση κακόβουλου κώδικα

Μέσω εισαγωγής χαρακτήρων τερματισμού γραμμής (%dt → %0d), οι επιτιθέμενοι παραποιούν την ανάλυση του αρχείου ρυθμίσεων κατά την εκκίνηση της συσκευής, επιτρέποντας την εκτέλεση ενός απομακρυσμένου shell script (bin.sh) από τον διακομιστή τους.

Το script αυτό:
✔️ Κατεβάζει και εγκαθιστά το κακόβουλο λογισμικό Aquabot για την αρχιτεκτονική του συστήματος (x86, ARM, MIPS κ.λπ.).
✔️ Ενεργοποιεί τα εκτελέσιμα δικαιώματα του κακόβουλου λογισμικού με chmod 777.
✔️ Διαγράφει τα ίχνη της επίθεσης.

Συμπεριφορά και εξάπλωση του Aquabotv3

Αφού διασφαλιστεί η παραμονή του στη συσκευή, το Aquabotv3 συνδέεται στον C2 server μέσω TCP, για να λάβει εντολές επίθεσης, ενημερώσεις ή πρόσθετα payloads.

Στη συνέχεια, προσπαθεί να εξαπλωθεί σε άλλες IoT συσκευές χρησιμοποιώντας:

  • CVE-2018-17532 (TP-Link)
  • CVE-2023-26801 (IoT firmware RCE)
  • CVE-2022-31137 (Web App RCE)
  • Linksys E-series RCE
  • Hadoop YARN
  • CVE-2018-10562 / CVE-2018-10561 (Dasan router bugs)

Επιπλέον, επιχειρεί να αποκτήσει πρόσβαση σε κακοσφαλισμένες συσκευές μέσω brute-forcing σε προεπιλεγμένα ή αδύναμα SSH/Telnet διαπιστευτήρια.

Στόχος: Επιθέσεις DDoS

Το Aquabotv3 στρατολογεί τις μολυσμένες συσκευές για κατανεμημένες επιθέσεις άρνησης υπηρεσίας (DDoS). Εκτελεί επιθέσεις TCP SYN, TCP ACK, UDP, GRE IP και application-layer.

Ο διαχειριστής του botnet διαφημίζει τις δυνατότητες DDoS του Aquabotv3 στο Telegram, χρησιμοποιώντας τα ονόματα Cursinq Firewall, The Eye Services και The Eye Botnet, παρουσιάζοντάς το ως εργαλείο δοκιμών για μέτρα προστασίας DDoS.

Δείκτες Συμβιβασμού (IoCs) & Μέτρα Ανίχνευσης

Η Akamai παρέχει μια λίστα με IoCs, καθώς και κανόνες Snort και YARA για την ανίχνευση του Aquabotv3 στο τέλος της αναφοράς της.

Συμβουλή Ασφαλείας: Οι χρήστες των Mitel SIP τηλεφώνων θα πρέπει άμεσα να ενημερώσουν τις συσκευές τους στις πιο πρόσφατες εκδόσεις firmware για να προστατευτούν από πιθανές επιθέσεις.

Πηγές & Χρήσιμα Links

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Webion Blog

Σχετικές Αναρτήσεις

Το dark <a href='https://www.webtasarimankarada.com/web-sitesi-fiyatlari' target='_blank' rel='follow' data-src=web δεν είναι απλώς ένα μυστικό μέρος του διαδικτύου, αλλά ένα τεχνολογικό οικοσύστημα που εξυπηρετεί την ανωνυμία και την αποκέντρωση" decoding="async" srcset="https://webion.gr/wp-content/uploads/2025/01/Understanding-the-Infrastructure-of-the-Dark-Web-300x251.jpg 300w, https://webion.gr/wp-content/uploads/2025/01/Understanding-the-Infrastructure-of-the-Dark-Web-768x644.jpg 768w, https://webion.gr/wp-content/uploads/2025/01/Understanding-the-Infrastructure-of-the-Dark-Web-350x293.jpg 350w, https://webion.gr/wp-content/uploads/2025/01/Understanding-the-Infrastructure-of-the-Dark-Web-370x310.jpg 370w, https://webion.gr/wp-content/uploads/2025/01/Understanding-the-Infrastructure-of-the-Dark-Web-255x214.jpg 255w, https://webion.gr/wp-content/uploads/2025/01/Understanding-the-Infrastructure-of-the-Dark-Web-285x239.jpg 285w, https://webion.gr/wp-content/uploads/2025/01/Understanding-the-Infrastructure-of-the-Dark-Web.jpg 940w" sizes="(max-width: 300px) 100vw, 300px" />

Κατανόηση της Υποδομής του Dark Web (Tor και το I2P)