Команда Akamai Security Intelligence and Response Team (SIRT) обнаружила новый вариант вредоносного ПО Aquabot, основанный на Mirai, который активно атакует SIP-телефоны Mitel. Этот вариант называется Aquabotv3 и использует уязвимость CVE-2024-41710, которая затрагивает модели Mitel. Aquabotv3 демонстрирует поведение, которое не было замечено в предыдущих вариантах Mirai, в частности, функцию отчетности, которая информирует командно-контрольный сервер (C2), когда на зараженном устройстве перехватывается сигнал kill.
Aquabot Botnet
Aquabot - это ботнет на базе Mirai, предназначенный для распределенных атак типа «отказ в обслуживании» (DDoS). Название «Aquabot» происходит от имени файла, присутствующего в анализе. Он известен с ноября 2023 года, и эта запись в блоге посвящена третьей версии. Первая версия была очень похожа на фреймворк Mirai, а вторая включала дополнительные механизмы сокрытия и сохранения информации для предотвращения отключения и перезагрузки устройства. Третья итерация добавляет новую активность в ботнет на базе Mirai, в частности C2-коммуникации, когда ботнет перехватывает определенные сигналы.
CVE-2024-41710 - уязвимость инъекции команд, затрагивающая SIP-телефоны Mitel серий 6800, 6900 и 6900w, включая конференц-модуль 6970 в версии R6.4.0.HF1 (R6.4.0.136). Уязвимость, которая была первоначально раскрыта в середине июля 2024 года, основана на дефекте санации ввода. Эксплуатация этой уязвимости может привести к получению root-доступа к устройству. Эксплуатация этой уязвимости в дикой природе была неизвестна до тех пор, пока ее не обнаружил SIRT в январе 2025 года.
Эксплойт proof of concept (PoC) показывает, что злоумышленник может обойти проверку санитарной обработки ввода, отправив специально созданный HTTP POST-запрос. Эксплойт PoC сфокусирован на конечной точке «802.1x Support», которая позволяет выполнять удаленные запросы, которые могут быть использованы для обновления локальной конфигурации устройства. Отправляя байтовое значение «%dt», веб-приложение интерпретирует его как символ перевода строки («%0d»), который может быть использован в процессе загрузки для выполнения действий, указанных в локальной конфигурации устройства.
Akamai SIRT обнаружила попытки эксплуатации этой уязвимости через свою глобальную сеть медовых точек в начале января 2025 года. Полезная нагрузка, используемая в эксплойте, очень похожа на PoC. Она нацелена на URI «/8021xsupport.html» и в настоящее время используется для распространения вредоносного ПО в дикой природе. Полезная нагрузка пытается выполнить сценарий оболочки под названием «bin.sh», который, в свою очередь, загружает и запускает вредоносную программу Mirai на целевой системе, поддерживающей различные архитектуры, такие как x86 и ARM.
В заключение отметим, что вариант Aquabotv3 вредоносного ПО Aquabot активно нацелен на SIP-телефоны Mitel, используя уязвимость CVE-2024-41710. Он демонстрирует уникальное поведение, не встречающееся в предыдущих вариантах Mirai, в том числе сообщает о сигналах убийства на сервер C2. Уязвимость позволяет выполнять инъекции команд, что может привести к получению root-доступа на уязвимых устройствах Mitel. Активная эксплуатация этой уязвимости была впервые обнаружена в январе 2025 года и заключается в распространении вредоносного ПО Mirai через полезную нагрузку shell-сценария.
Indicators of Compromise
IPv4
- 141.98.11.175
- 141.98.11.67
- 154.216.16.109
- 173.239.233.46
- 173.239.233.47
- 173.239.233.48
- 193.200.78.33
- 213.130.144.69
- 89.190.156.145
- 91.92.243.233
Domains
- awaken-network.net
- cardiacpure.ru
- cloudboats.vip
- dogmuncher.xyz
- eye-network.ru
- fuerer-net.ru
- intenseapi.com
- theeyefirewall.su
SHA256
- 1e74bcd24e30947bd14cef6731ca63f69df060ba3dcac88b2321171335a6e8ef
- 597b84ba23e16b24ec17288981bbf65c84b6ba3bb07df6620378a1907692fb86
- 6a070dc9614dbb9a76092258fdc8bd758f69126c73787dc7d2af9aebd436e7ec
- b41e29e745b69f3e8c11d105e7e050fd9e08ff1e22efd97fd4c239a9095d708b
- b5d1cf8b222162567f46281e792145774689c205701a02f3723cf6fb13a429de
- e06c3f5c32aaa422e66056290eb566065afe2ce611fe019f3ba804af939ac1a3