Una transformación de botnet de Mirai doblada Agubot se ha observado activamente intentando explotar una falta de seguridad de seguridad media que impacta los teléfonos Mitel para atraparlos en una red capaz de contar ataques distribuidos de denegación de servicio (DDoS).
La vulnerabilidad en cuestión es CVE-2024-41710 (puntaje CVSS: 6.8), un caso de inyección de comandos en el proceso de comienzo que podría permitir que un actor malvado ejecute comandos arbitrarios internamente del contexto del teléfono.
Afecta la serie Mitel 6800, la serie 6900, los teléfonos SIP de la serie 6900W y la Mecanismo de la Conferencia Mitel 6970. Fue abordado por Mitel a mediados de julio de 2024. Una exploit de prueba de concepto (POC) para la falta se puso a disposición del notorio en agosto.
Fuera de CVE-2024-41710, algunas de las otras vulnerabilidades dirigidas por el Botnet incluyen CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137, CVE-2023-26801 y A Ejecución de código remoto de ejecución de fallas de orientación LinkSys E-Series E-Series.
“Aquabot es una botnet que se construyó en el situación de Mirai con el objetivo final de la nulidad de servicio distribuida (DDoS)”, dijeron los investigadores de Akamai Kyle Lefton y Larry Cashdollar. “Se sabe desde noviembre de 2023”.
La compañía de infraestructura web dijo que detectó intentos de explotación activa contra CVE-2024-41710 desde principios de enero de 2025, con los ataques que reflejan una “carga útil casi idéntica al POC” para implementar el malware Botnet.
El ataque implica ejecutar un script de shell que, a su vez, usa el comando “wget” para recuperar Aquabot para diferentes arquitecturas de CPU.
Se ha evaluado que la transformación de Aquabot Mirai vistta en el ataque es una tercera iteración del malware, que luce una nueva función “Report_Kill” que informa al servidor de comando y control (C2) cuando se capta una señal de homicidio en el infectado dispositivo. Sin incautación, no se ha enfrentado que el pedido de esta información obtenga ninguna respuesta del servidor hasta la data.
Esta nueva interpretación, adicionalmente de activar la comunicación C2 al detectar ciertas señales, se renombra a “httpd.x86” para evitar atraer atención y está programado para terminar procesos que coinciden con ciertos requisitos, como las conchas locales. Se sospecha que las características de manejo de la señal probablemente se incorporan para crear variantes más sigilosas o detectar actividades maliciosas de botnets competitivos.
Hay alguna evidencia que sugiere que los actores de amenaza detrás de Aquabot están ofreciendo la red de hosts comprometidos como un servicio DDoS en Telegram bajo el firewall Cursinq de los apodos, los servicios oculares y el ojo.
El explicación es un signo de que Mirai continúa afectando a una amplia abanico de dispositivos conectados a Internet que a menudo carecen de características de seguridad adecuadas, o han ajustado el final de la vida o se han dejado accesible con la configuración predeterminada y las contraseñas, haciéndolas frutas bajas maduras para explotación y un conducto esencia para ataques DDoS.
“Los actores de amenaza comúnmente afirman que la botnet se usa solo para fines de prueba de mitigación DDoS para tratar de engañar a los investigadores o la aplicación de la ley”, dijeron los investigadores.
“Los actores de amenaza afirmarán que es solo un POC o poco educativo, pero un descomposición más profundo muestra que, de hecho, anuncian DDoS como un servicio, o los propietarios se jactan de ejecutar su propia botnet en Telegram”.
