Yine başka Mirai Botnet varyantı turlar yapıyor, bu kez Mitel SIP telefonlarındaki kusurlardan yararlanarak hizmet olarak dağıtılmış hizmet (DDOS) hizmeti sunuyor. Ayrıca saldırgan komut ve kontrol (C2) ile iletişim kurma özelliğine de sahiptir.
Akamai Güvenlik İstihbarat ve Müdahale Ekibindeki (SIRT) araştırmacılar, aktif olarak sömürülen Aquabot olarak adlandırılan meşhur Botnet’in varyantını tespit ettiler. CVE-2024-41710Kurumsal ortamlarda kullanılan çeşitli Mitel modellerini etkileyen bir komut enjeksiyon güvenlik açığı, Açıkladılar 29 Ocak’ta yayınlanan bir blog yazısında. Güvenlik açığı bir giriş dezenfekte kusuruna dayanıyor ve sömürü cihazın kök erişimine yol açabilir, SIRT araştırmacıları Kyle Lefton ve Larry Cashdollar yazıda yazdı.
Varyant, Aquabot’un üçüncü versiyonudur (Akamai ona Aquabotv3 diyor) sahnede görünmektedir; İlk versiyon, Kasım 2023’te keşfedilen DDOS’un nihai hedefi ile Mirai çerçevesinden inşa edildi ve ilk olarak Antiey Labs tarafından bildirildi. Araştırmacılar, Bot’un ikinci versiyonunun “Cihazın kapatılmasını önleme ve yeniden başlatma gibi gizlilik ve kalıcılık mekanizmalarına takıldığını” V3’te mevcut kalan “diye yazdı.
Araştırmacılar, yeni varyantın birkaç nedenden dolayı önceki sürümlerden farklı olduğunu söyledi. Bunlardan biri, AquABotv3’te ilk görünen benzersiz bir özelliktir: “Report_kill” adlı bir işlev, enfekte olmuş cihazda bir öldürme sinyali yakalandığında C2’ye geri döndüren bir işlev. Ancak şimdiye kadar araştırmacılar, saldırgan C2’nin işlevine herhangi bir yanıt görmediler.
Aquabot V3’ün önemli bir yönü, arkasındaki tehdit aktörlerinin Botnet’i Telegram gibi platformlar aracılığıyla DDOS AS-A-Hizmet olarak reklamını yapmasıdır. Araştırmacılar, botun Cursinq Güvenlik Duvarı, Göz Hizmetleri ve Göz Botnet’i dahil olmak üzere birkaç farklı isim altında ilan edildiğini belirtti.
Mitel telefon güvenlik kusurunun aktif olarak kullanılması
Akamai SIRT, CVE-2024-41710’u hedefleyen istismar girişimlerini, Ocak ayı başlarında küresel balpot ağı aracılığıyla hedefleyen bir konsept kanıtı (POC) ile neredeyse aynı geliştirilen ve piyasaya sürülen bir yükü kullanarak tespit etti. Gitithub Ağustos ortalarında PacketLabs’ın araştırmacısı Kyle Burns tarafından.
Burns, Mitel 6869i SIP telefonunun, ürün yazılımı sürüm 6.3.0.1020’nin, kusura karşı savunmasız çoklu uç noktalarla kullanıcı tarafından sağlanan girişi düzgün bir şekilde sterilize edemediğini keşfetti. POC, bir saldırganın özel olarak hazırlanmış bir HTTP sonrası isteği göndererek uygulamanın dezenfekte kontrolleri tarafından aksi takdirde engellenen girişlerde kaçak olabileceğini gösterdi.
Akamai Sirt’in gözlemlediği sömürü faaliyeti,: bin.sh adlı bir kabuk komut dosyası getirmeye ve yürütmeye çalışan bir yük sundu, bu da getirecek ve yürütecek Mirai kötü amaçlı yazılım Hedef sistemde araştırmacılar yazdı. Kötü amaçlı yazılım, X86 ve ARM dahil olmak üzere çeşitli farklı mimariler için desteğe sahiptir.
“Kötü amaçlı yazılım örnekleri analizimize dayanarak, bunun Aquabot Mirai varyantının bir versiyonu olduğunu belirledik.”
DDOS saldırılarında kullanılmasının yanı sıra, tehdit aktörleri de DDOS için DDOS için Aquabot’u Hawking yapıyor, ancak etkinliği DDOS hafifletme için “tamamen test” olarak gizlemeye çalışıyorlar. Bununla birlikte, AD Tanıtım Testinde yer alan aynı alanın aktif olarak Mirai kötü amaçlı yazılımları yaydığını belirtti.
“Tehdit aktörleri bunun sadece bir [proof of concept] Ya da eğitici bir şey, ancak daha derin bir analiz, aslında DDO’ların bir hizmet olarak reklamını yaptıklarını veya sahiplerinin kendi botnetlerini telgrafta çalıştırmakla övündüklerini gösteriyor. “
Mirai Botnet DDO’lar için anahtar kanal olmaya devam ediyor
Araştırmacılar, DDOS saldırılarından sorumlu botnet’lerin çoğunluğu Mirai’ye dayandığından, “ağırlıklı olarak Nesnelerin İnterneti (IoT) cihazlarını hedefliyorlar, bu da kötü amaçlı yazılımları yapmayı nispeten kolaylaştırıyor” diye belirtti. Aslında, Yakın tarihli bir küresel DDOS saldırıları dalgası Mirai Botnet spinofflarına atfedildi, Mirai’den yararlanmayı amaçlayan saldırganların yavaşlama belirtisi göstermediğini gösterdi.
Muhtemelen ” [return on investment] Araştırmacılar, Mirai’nin hevesli bir botnet yazarı için yüksek olduğunu, “bu sadece dünyanın en başarılı botnet ailelerinden biri değil, aynı zamanda daha basit olanlardan biri değil, aynı zamanda daha basit olanlardan biri.
Ayrıca, birçok IoT cihazı genellikle uygun güvenlik özelliklerinden yoksundur, hizmetin sonunda veya tehlikeler hakkında ihmal veya bilgi eksikliğinden varsayılan yapılandırmalar ve şifrelerle bırakılır ve onları alçak bir meyve haline getirir. Mirai ve varyantlarıaraştırmacılar yazdı.
Bir saldırganın niyetleri ne olursa olsun, araştırmacılar kuruluşların DDOS tehditlerine karşı korumak için Keşif veya Varsayılan Kimlik Bilgileri yoluyla IoT cihazlarını güvence altına almak için harekete geçmelerini önerdiler.
“Bu botnetlerin çoğu kimlik doğrulama için ortak şifre kütüphanelerine güveniyorlar.” “Bilinen IoT cihazlarınızın nerede olduğunu öğrenin ve haydut olanları da kontrol edin. Oturum açma kimlik bilgilerini kontrol edin ve varsayılan veya tahmin edilmesi kolaysa bunları değiştirin.”
Akamai SIRT ayrıca, savunuculara yardım etmek için görevdeki Snort ve Yara kurallarının yanı sıra uzlaşma (IOCS) göstergelerinin bir listesini de içeriyordu.
