Aquabot Botnet
Mirai ベースのボットネットの亜種である Aquabot が、Mitel の携帯電話に影響を及ぼすセキュリティ上の欠陥を積極的に悪用しようとしていることが検出されました。攻撃者は、これらのデバイスをボットネットに統合し、分散型サービス拒否 (DDoS) 攻撃を開始することを目指しています。
目次
注目の脆弱性: CVE-2024-41710
標的となったセキュリティ上の欠陥 CVE-2024-41710 は、CVSS スコア 6.8 で、起動プロセスにおけるコマンド インジェクションの脆弱性に起因しています。この欠陥により、攻撃者は携帯電話の動作環境内で任意のコマンドを実行できる可能性があります。
影響を受けるデバイスとパッチの詳細
この脆弱性は、6800 シリーズ、6900 シリーズ、6900w シリーズ SIP 電話機、6970 会議ユニットなど、複数の Mitel 電話機モデルに影響を及ぼします。Mitel は 2024 年 7 月にこの問題に対処しましたが、8 月に概念実証 (PoC) エクスプロイトが公開され、脅威アクターに攻撃の扉が開かれる可能性があります。
複数の脆弱性が発生
CVE-2024-41710 以外にも、CVE-2018-10561、CVE-2018-10562、CVE-2018-17532、CVE-2022-31137、CVE-2023-26801 などの追加の脆弱性を Aquabot が狙っていることが確認されています。このボットネットは、Linksys E シリーズ デバイスのリモート コード実行の脆弱性を悪用しようとしており、攻撃対象領域が広いことが示唆されています。
Aquabot: 歴史ある Mirai ベースのボットネット
Aquabot は、悪名高いMiraiフレームワークから派生したボットネットで、DDoS 攻撃を実行するために特別に設計されています。研究者は 2023 年 11 月からその活動を追跡しており、継続的な進化の証拠が示されています。
欠陥の悪用:攻撃メカニズム
CVE-2024-41710 に対するアクティブなエクスプロイトの最初の兆候は、2025 年 1 月初旬に現れました。攻撃者は、シェル スクリプトを実行してボットネット マルウェアを展開し、'wget' コマンドを使用して脅威となるペイロードを取得します。攻撃方法は、公開されている PoC エクスプロイトとよく似ています。
よりステルス性が高く、より進化した亜種
これらの攻撃に関与した Aquabot の亜種は、マルウェアの 3 番目の反復であると思われます。ボットネット プロセスが終了するたびにコマンド アンド コントロール (C2) サーバーにレポートを返す新しい「report_kill」関数が導入されています。ただし、この機能によってサーバーからの即時応答がトリガーされるという証拠はありません。
さらに、新しい亜種は検出を回避するために「httpd.x86」に偽装し、ローカルシェルなどの特定のプロセスを終了するようにプログラムされています。これらの改良は、Aquabot の回避性を高め、競合するボットネットのアクティビティを検出できるようにする取り組みを示唆しています。
アクセスを売る: 地下の DDoS 攻撃請負事業
Aquabot の背後にいる脅威アクターが、Telegram で DDoS サービスとしてボットネットを提供している兆候があります。彼らは Cursinq Firewall、The Eye Services、The Eye Botnet などの別名で活動し、侵害されたホストを利用して有料顧客に攻撃機能を提供しています。
全体像: Mirai の根強い脅威
Aquabot のような Mirai ベースの脅威の再燃は、インターネットに接続されたデバイスに関連する継続的なリスクを浮き彫りにしています。これらのデバイスの多くは、セキュリティが不十分であったり、ソフトウェアが古かったり、認証情報がデフォルトであったりするため、簡単に悪用される標的になっています。
攻撃者による誤解を招く正当化
脅威アクターは、ボットネットの運用は純粋にテストや教育目的であると主張し、研究者や法執行機関を欺こうとすることがよくあります。しかし、さらに分析を進めると、DDoS サービスを提供したり、アンダーグラウンド フォーラムや Telegram チャンネルでボットネットの活動を公然と自慢したりすることが、彼らの真の目的であることが明らかになることがよくあります。
