Группа корпоративных устройств, часто остающаяся вне поля зрения систем безопасности - IP-телефоны, - становится целью новой волны атак. Исследователи из Akamai Security Intelligence and Response Team (SIRT) обнаружили активную кампанию по заражению аппаратов Mitel вредоносной программой, являющейся третьей итерацией ботнета Aquabot, построенного на базе печально известного фреймворка Mirai. Уникальность новой версии, получившей обозначение Aquabotv3, заключается в ранее не наблюдавшейся у потомков Mirai функции обратной связи с командным сервером (C2) при попытке завершить её работу на заражённом устройстве. В качестве вектора атаки злоумышленники используют уязвимость CVE-2024-41710 в SIP-телефонах Mitel, для которой с августа 2024 года существует публичный proof of concept (PoC), демонстрирующий возможность эксплуатации.
Описание
Активная эксплуатация этой уязвимости, представляющей собой ошибку инъекции команд, была зафиксирована глобальной сетью ловушек (honeypots) Akamai в начале января 2025 года. Полезная нагрузка атаки практически идентична публичному PoC: специально сформированный HTTP POST-запрос к веб-интерфейсу телефона позволяет перезаписать конфигурацию устройства и выполнить произвольные команды. В случае успеха атакующий получает root-доступ к аппарату и запускает процесс загрузки и исполнения вредоносного скрипта с удалённого сервера. Этот скрипт, в свою очередь, загружает и запускает бинарный файл Aquabotv3, скомпилированный для широкого спектра архитектур, включая x86, ARM, MIPS и другие, что свидетельствует о нацеленности на разнородный парк встраиваемых устройств.
Изначально Aquabot, впервые обнаруженный в ноябре 2023 года, представлял собой практически неизменённый Mirai, основная цель которого - организация распределённых атак типа «отказ в обслуживании» (DDoS). Вторая версия добавила механизмы сокрытия и закрепления в системе, такие как предотвращение выключения и перезагрузки устройства. Aquabotv3, однако, вводит принципиально новую функциональность. Помимо стандартного для Mirai набора функций для DDoS-атак, исследователи обнаружили в коде механизм обработки сигналов завершения процесса. Когда вредоносная программа перехватывает один из критических сигналов (например, SIGTERM или SIGKILL), она не просто пытается защититься, но и отправляет уведомление об этом событии на свой командный сервер через TCP-соединение.
Этот ранее не встречавшийся у ботнетов на базе Mirai механизм «report_kill» может служить нескольким целям. Во-первых, он позволяет операторам ботнета в режиме реального времени отслеживать его «здоровье» и обнаруживать попытки очистки заражённых устройств. Во-вторых, сбор статистики по таким событиям может помочь в разработке более скрытных и устойчивых будущих версий, адаптированных под конкретные среды защиты. В-третьих, это может быть инструментом для обнаружения конфликтов с конкурирующими ботнетами или активностей по этическому обезвреживанию инфраструктуры. Примечательно, что на момент публикации отчёта Akamai не было зафиксировано ответных действий со стороны C2 на такие уведомления, что указывает на вероятную стадию тестирования или сбора данных.
Важно понимать, что кампания по заражению устройств Mitel - лишь один из векторов распространения Aquabotv3. Анализ показывает, что один и тот же вредонос использует для своего распространения целый спектр известных уязвимостей в других устройствах и ПО, включая CVE-2018-17532 в маршрутизаторах TP-Link, CVE-2023-26801 в устройствах Linksys, уязвимость в Apache Hadoop YARN и другие. Это классическая тактика современных IoT-ботнетов: максимально широкий охват через множество дыр в безопасности для построения мощной распределённой сети. Кроме того, как и многие подобные проекты, Aquabot рекламируется его операторами в Telegram как сервис для проведения DDoS-атак (DDoS-as-a-Service) под разными названиями, маскируясь при этом под инструменты для «тестирования систем защиты».
Данный инцидент ярко иллюстрирует сохраняющуюся высокую опасность, исходящую от устройств интернета вещей. Многие из них, включая корпоративные IP-телефоны, работают на устаревшем или необновляемом ПО, используют стандартные учётные данные и часто исключены из процессов регулярного управления уязвимостями. Для специалистов по информационной безопасности это сигнал к действию. Необходимо включить все сетевые устройства, даже те, что традиционно считаются «некомпьютерными», в периметр инвентаризации и мониторинга. Критически важно оперативно применять обновления безопасности от вендоров, особенно для устройств, подверженных таким критическим уязвимостям, как CVE-2024-41710, подробности эксплуатации которой уже опубликованы исследование Akamai SIRT.
Таким образом, появление Aquabotv3 - это не просто очередной клон Mirai, а эволюция угрозы, демонстрирующая рост технической изощрённости операторов ботнетов. Их интерес к корпоративному оборудованию и внедрение механизмов обратной связи для анализа защитных мер указывают на стремление создавать более устойчивые и скрытные сетевые инфраструктуры для кибератак. Борьба с этой угрозой требует комплексного подхода, включающего своевременное обновление прошивок, сегментацию сетей, мониторинг нестандартного исходящего трафика и строгий контроль доступа ко всем сетевым устройствам без исключений.
Индикаторы компрометации
IPv4
- 141.98.11.175
- 141.98.11.67
- 154.216.16.109
- 173.239.233.46
- 173.239.233.47
- 173.239.233.48
- 193.200.78.33
- 213.130.144.69
- 89.190.156.145
- 91.92.243.233
Domains
- awaken-network.net
- cardiacpure.ru
- cloudboats.vip
- dogmuncher.xyz
- eye-network.ru
- fuerer-net.ru
- intenseapi.com
- theeyefirewall.su
SHA256
- 1e74bcd24e30947bd14cef6731ca63f69df060ba3dcac88b2321171335a6e8ef
- 597b84ba23e16b24ec17288981bbf65c84b6ba3bb07df6620378a1907692fb86
- 6a070dc9614dbb9a76092258fdc8bd758f69126c73787dc7d2af9aebd436e7ec
- b41e29e745b69f3e8c11d105e7e050fd9e08ff1e22efd97fd4c239a9095d708b
- b5d1cf8b222162567f46281e792145774689c205701a02f3723cf6fb13a429de
- e06c3f5c32aaa422e66056290eb566065afe2ce611fe019f3ba804af939ac1a3
Связанные индикаторы
- Aquabot Botnet IOCs
- [GS-533] Mirai Botnet IOCs
- [GS-586] Mirai Botnet IOCs
- [GS-576] Mirai Botnet IOCs
- [GS-574] Mirai Botnet IOCs
- [GS-572] Mirai Botnet IOCs
- [GS-568] Mirai Botnet IOCs
- [GS-567] Mirai Botnet IOCs
- [GS-566] Mirai Botnet IOCs
- [GS-565] Mirai Botnet IOCs
- [GS-564] Mirai Botnet IOCs
- [GS-563] Mirai Botnet IOCs
- [GS-562] Mirai Botnet IOCs
- [GS-561] Mirai Botnet IOCs
- [GS-557] Mirai Botnet IOCs
- [GS-552] Mirai Botnet IOCs
- Mirai Botnet IOCs - Part 3
- [GS-368] Mirai Botnet IOCs
- [GS-367] Mirai Botnet IOCs
- [GS-366] Mirai Botnet IOCs
- [GS-365] Mirai Botnet IOCs
- [GS-363] Mirai Botnet IOCs
- [GS-362] Mirai Botnet IOCs
- [GS-361] Mirai Botnet IOCs
- [GS-360] Mirai Botnet IOCs
- [GS-359] Mirai Botnet IOCs
- [GS-358] Mirai Botnet IOCs
- Индикаторы компрометации ботнета Mirai (обновление за 12.05.2025)
- [REINDEX-4.3] Mirai Botnet IOCs
- [GS-503] Mirai Botnet IOCs
- [GS-513] Mirai Botnet IOCs
- [GS-516] Mirai Botnet IOCs
- [GS-519] Mirai Botnet IOCs
- [GS-521] Mirai Botnet IOCs
- [GS-594] Mirai Botnet IOCs
- [GS-589] Mirai Botnet IOCs
- [GS-580] Mirai Botnet IOCs
- Индикаторы компрометации ботнета Mirai (обновление за 13.05.2025)
- [GS-606] Mirai Botnet IOCs
- [GS-621] Mirai Botnet IOCs
- [GS-25-1066] Mirai Botnet IOCs
- [GS-25-1169] Mirai Botnet IOCs
- [GS-25-1172] Mirai Botnet IOCs
- [GS-25-1173] Mirai Botnet IOCs
- [GS-25-1383] Mirai Botnet IOCs
- [GS-25-1386-2] Mirai Botnet IOCs
- [GS-25-1491] Mirai Botnet IOCs
- [GS-25-16106] Mirai Botnet IOCs
- [GS-25-19125] Mirai Botnet IOCs
