Ботнет Aquabot: еще один игрок на рынке DDoS-угроз
Table of Contents
Понимание ботнета Aquabot
Aquabot — это ботнет, созданный на основе фреймворка Mirai , известного штамма вредоносного ПО, используемого для захвата подключенных к Интернету устройств с целью осуществления подрывной кибердеятельности. С момента своего появления в конце 2023 года он был идентифицирован как инструмент, в первую очередь предназначенный для выполнения крупномасштабных атак типа «распределенный отказ в обслуживании» (DDoS). Недавно он привлек внимание своими попытками использовать уязвимость безопасности в телефонах Mitel с целью расширения своей сети скомпрометированных устройств.
Целевая уязвимость, обозначенная как CVE-2024-41710, представляет собой ошибку внедрения команд в процесс загрузки определенных моделей SIP-телефонов Mitel. При успешной эксплуатации она предоставляет злоумышленникам возможность запускать произвольные команды на затронутых устройствах, фактически регистрируя их в растущей сети Aquabot. Несмотря на то, что Mitel выпустила исправление безопасности для этой проблемы в середине 2024 года, злоумышленники продолжили свои попытки взломать устройства, которые остаются неисправленными.
Цель Аквабота
Основная цель Aquabot — проведение DDoS-атак. Эти типы атак включают в себя перегрузку целевых сетей или сервисов чрезмерным трафиком, что приводит к сбоям и потенциальным отключениям. Отчеты предполагают, что те, кто стоит за Aquabot, могут предлагать доступ к этому ботнету как к услуге, позволяя клиентам запускать собственные DDoS-атаки. Доказательства таких операций появились в Telegram, где киберпреступники, по-видимому, рекламируются под такими псевдонимами, как Cursinq Firewall, The Eye Services и The Eye Botnet.
Хотя некоторые утверждают, что Aquabot используется исключительно в целях тестирования или обучения, более глубокий анализ противоречит этим утверждениям. Инфраструктура ботнета соответствует шаблонам, обычно связанным с платными услугами кибератак, что усиливает подозрения относительно его истинных намерений.
Как распространяется Aquabot
Последние действия Aquabot включают эксплуатацию нескольких уязвимостей, выходящих за рамки недостатка телефона Mitel. Было замечено, что ботнет нацелен на известные уязвимости безопасности, включая CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 и CVE-2023-26801, среди прочих. Некоторые из этих уязвимостей затрагивают маршрутизаторы и другое подключенное к Интернету оборудование, что позволяет Aquabot проникать в устройства широкого спектра.
После того, как устройство скомпрометировано, запускается скрипт для получения вредоносного ПО ботнета. В недавних атаках было замечено, что Aquabot извлекает свою полезную нагрузку с помощью команды "wget", которая позволяет ему загружать и устанавливать необходимые компоненты для выполнения.
Последняя итерация ботнета включает в себя заметную функцию под названием «report_kill», которая оповещает сервер управления и контроля (C2), когда зараженное устройство получает сигнал завершения. Хотя немедленного ответа от сервера C2 после этого уведомления обнаружено не было, эта функция предполагает продолжающиеся улучшения в архитектуре ботнета. Кроме того, Aquabot пытается избежать обнаружения, переименовывая себя в «httpd.x86» и завершая определенные процессы, которые могут помешать его работе.
Последствия деятельности Aquabot
Продолжающееся развитие ботнетов на базе Mirai, таких как Aquabot, подчеркивает постоянные проблемы безопасности, связанные с подключенными к Интернету устройствами. Многие целевые устройства либо не имеют надежных мер безопасности, либо достигли конца срока поддержки, либо остаются настроенными с учетными данными по умолчанию. Это делает их привлекательными целями для киберпреступников, стремящихся создать обширные ботнеты с минимальными усилиями.
Растущую обеспокоенность вызывает возможность киберпреступников использовать сеть Aquabot для масштабных атак на предприятия, правительства или критически важную инфраструктуру. DDoS-атаки могут привести к перебоям в обслуживании, финансовым потерям и репутационному ущербу, особенно для организаций, зависящих от онлайн-платформ. Кроме того, наличие черного рынка, продающего доступ к Aquabot, увеличивает вероятность широкомасштабного злоупотребления, поскольку лица с небольшими техническими знаниями могут потенциально начать собственные атаки.
Общая картина
Появление Aquabot подчеркивает более широкую проблему кибербезопасности в сфере IoT (Интернет вещей) и сетевых устройств. Многие производители по-прежнему отдают приоритет функциональности над безопасностью, оставляя уязвимости, которые злоумышленники быстро используют. Хотя обновления и исправления программного обеспечения обеспечивают защиту от известных эксплойтов, остается проблема обеспечения того, чтобы пользователи применяли эти обновления своевременно.
Поскольку ботнеты продолжают развиваться, злоумышленники совершенствуют свои методы, чтобы поддерживать устойчивость и избегать обнаружения. Введение таких функций, как «report_kill», предполагает переход к более сложным тактикам, потенциально прокладывая путь для еще более скрытных вариантов в будущем.
Заключительные мысли
Aquabot — еще один пример того, как злоумышленники используют существующие уязвимости для расширения своего влияния. Хотя усилия по исправлению уязвимых устройств имеют решающее значение, устранение коренных причин, таких как слабые методы обеспечения безопасности и устаревшее оборудование, остается фундаментальной проблемой. Поскольку киберпреступники активно предлагают услуги ботнетов на подпольных платформах, важность надежных мер кибербезопасности никогда не была столь очевидной.
Организации и отдельные лица должны сохранять бдительность, гарантируя, что их устройства должным образом защищены от новых угроз, таких как Aquabot. Регулярные обновления, надежные методы аутентификации и сетевой мониторинг являются важными шагами в снижении риска, создаваемого ботнетами в развивающемся ландшафте кибербезопасности.
