Aquabot 殭屍網路：DDoS 威脅領域中的另一個參與者

了解 Aquabot 殭屍網絡

Aquabot 是一個基於Mirai 框架構建的殭屍網絡，Mirai 是一種著名的惡意軟體，用於控制連接互聯網的裝置以進行破壞性的網路活動。自 2023 年底出現以來，它已被確定為主要用於執行大規模分散式阻斷服務 (DDoS) 攻擊的工具。該公司最近因試圖利用 Mitel 手機的安全漏洞而受到關注，其目的是擴大其受感染設備的網路。

此漏洞編號為 CVE-2024-41710，是某些 Mitel SIP 電話型號啟動過程中的指令注入缺陷。如果成功利用漏洞，攻擊者就可以在受影響的裝置上執行任意命令，從而有效地將它們加入 Aquabot 不斷增長的網路中。儘管 Mitel 於 2024 年中期發布了針對該問題的安全修復程序，但攻擊者仍在繼續努力攻擊未修復的設備。

Aquabot 的目標

Aquabot 的核心目的是進行 DDoS 攻擊。這些類型的攻擊涉及用過多的流量壓垮目標網路或服務，從而造成中斷和潛在的中斷。報告表明，Aquabot 背後的黑手可能提供存取該殭屍網路的服務，允許客戶發動自己的 DDoS 攻擊。此類行動的證據已在 Telegram 上浮出水面，網路犯罪分子似乎使用 Cursinq Firewall、The Eye Services 和 The Eye Botnet 等別名進行廣告宣傳。

雖然有些人聲稱 Aquabot 純粹用於測試或教育目的，但更深入的分析推翻了這些說法。殭屍網路的基礎設施與付費網路攻擊服務常見的模式一致，這加強了人們對其真實意圖的懷疑。

Aquabot 如何傳播

Aquabot 的最新活動涉及利用 Mitel 手機漏洞以外的多種漏洞。據觀察，此殭屍網路以已知的安全漏洞為目標，包括 CVE-2018-10561、CVE-2018-10562、CVE-2018-17532、CVE-2022-31137 和 CVE-2023-26801 等。其中一些漏洞會影響路由器和其他與互聯網連接的硬件，從而使 Aquabot 能夠滲透到廣泛的設備中。

一旦裝置受到攻擊，就會執行腳本來取得殭屍網路惡意軟體。在最近的攻擊中，據觀察，Aquabot 使用「wget」命令檢索其有效負載，這使它能夠下載並安裝執行所需的元件。

殭屍網路的最新版本包含一個值得注意的功能“report_kill”，當受感染的裝置收到終止訊號時，它會向命令和控制 (C2) 伺服器發出警報。雖然此通知之後沒有偵測到來自 C2 伺服器的立即回應，但此功能顯示殭屍網路的架構正在不斷改進。此外，Aquabot 試圖透過將自身重命名為「httpd.x86」並終止可能幹擾其運行的特定進程來逃避偵測。

Aquabot 活動的影響

Aquabot 等基於 Mirai 的殭屍網路的持續發展凸顯了與網路連線裝置相關的持續安全挑戰。許多目標設備要么缺乏強大的安全措施，要么已達到其支援期限的終點，要么仍然配置有預設憑證。這使得它們成為試圖以最少的努力建立大規模殭屍網路的網路犯罪分子的有吸引力的目標。

人們越來越擔心網路犯罪分子可能會利用 Aquabot 網路對企業、政府或關鍵基礎設施發動大規模攻擊。 DDoS 攻擊可能導致服務中斷、財務損失和聲譽損害，尤其是對於依賴線上平台的組織。此外，出售 Aquabot 存取權的黑市服務的存在增加了大規模濫用的可能性，因為缺乏技術知識的個人可能會發動自己的攻擊。

更大的圖景

Aquabot 的出現凸顯了物聯網 (IoT) 和連網裝置領域的更廣泛的網路安全問題。許多製造商仍然優先考慮功能性而非安全性，這留下了攻擊者容易利用的漏洞。雖然軟體更新和修補程式可以防禦已知漏洞，但挑戰仍然存在，如何確保用戶及時應用這些更新。

隨著殭屍網路的不斷發展，攻擊者正在改進其方法以保持持久性並避免被發現。 「report_kill」等功能的引入顯示其正向更複雜的策略轉變，可能為未來更隱密的變體鋪平道路。

最後的想法

Aquabot 是威脅行為者如何利用現有漏洞擴大其影響範圍的另一個例子。雖然修補受影響設備的努力至關重要，但解決根本原因（例如薄弱的安全措施和過時的硬體）仍然是一項根本挑戰。隨著網路犯罪分子積極在地下平台提供殭屍網路服務，強大的網路安全措施的重要性從未如此清晰。

組織和個人都必須保持警惕，確保他們的設備得到適當的保護，以抵禦 Aquabot 等新興威脅。定期更新、強大的身份驗證實踐和網路監控是減輕不斷發展的網路安全環境中殭屍網路帶來的風險的重要步驟。