Varian botnet mirai dijuluki AQUABOT telah diamati secara aktif berusaha mengeksploitasi cacat keamanan medium-mitel yang berdampak pada ponsel mitel untuk menjerat mereka ke dalam jaringan yang mampu memasang serangan penolakan (DDOS) yang didistribusikan.
Kerentanan yang dimaksud adalah CVE-2024-41710 (skor CVSS: 6.8), kasus injeksi perintah dalam proses boot yang dapat memungkinkan aktor jahat untuk menjalankan perintah sewenang-wenang dalam konteks telepon.
Ini mempengaruhi Seri Mitel 6800, Seri 6900, Seri SIP 6900W, dan Unit Konferensi Mitel 6970. Itu ditangani oleh Mitel pada pertengahan Juli 2024. Eksploitasi bukti konsep (POC) untuk cacat menjadi tersedia untuk umum pada bulan Agustus.
Di luar CVE-2024-41710, beberapa kerentanan lain yang ditargetkan oleh botnet termasuk CVE-2018-10561, CVE-2018-10562, CVE 2018-17532, CVE-2022-31137, CVE-2023-26801, dan A Perangkat Eksekusi Kode Jarak Jauh Penargetan Linksys E-Series Perangkat.
“Aquabot adalah botnet yang dibangun dari kerangka kerja Mirai dengan tujuan akhir dari pelayanan penolakan (DDOS) yang didistribusikan,” kata para peneliti Akamai Kyle Lefton dan Larry Cashdollar. “Sudah diketahui sejak November 2023.”
Perusahaan infrastruktur web mengatakan mendeteksi upaya eksploitasi aktif terhadap CVE-2024-41710 sejak awal Januari 2025, dengan serangan mencerminkan “muatan yang hampir identik dengan POC” untuk menggunakan malware botnet.
Serangan itu melibatkan pelaksanaan skrip shell yang, pada gilirannya, menggunakan perintah “wget” untuk mengambil aquabot untuk arsitektur CPU yang berbeda.
Varian Aquabot Mirai yang terlihat dalam serangan telah dinilai sebagai iterasi ketiga dari malware, menampilkan fungsi “Report_Kill” baru yang melaporkan kembali ke server perintah-dan-kontrol (C2) ketika sinyal membunuh ditangkap pada yang terinfeksi perangkat. Namun, mengirim informasi ini belum ditemukan untuk mendapatkan respons dari server hingga saat ini.
Versi baru ini, selain memicu komunikasi C2 setelah mendeteksi sinyal tertentu, mengganti nama dirinya menjadi “httpd.x86” untuk menghindari menarik perhatian dan diprogram untuk menghentikan proses yang sesuai dengan persyaratan tertentu, seperti cangkang lokal. Diduga bahwa fitur penanganan sinyal kemungkinan dimasukkan untuk membuat varian yang lebih tersembunyi atau mendeteksi aktivitas jahat dari botnet yang bersaing.
Ada beberapa bukti yang menunjukkan bahwa aktor ancaman di belakang Aquabot menawarkan jaringan host yang dikompromikan sebagai layanan DDOS di telegram di bawah firewall Monikers CursiniT, layanan mata, dan botnet mata.
Pengembangan adalah tanda bahwa Mirai terus mengganggu berbagai perangkat yang terhubung dengan internet yang seringkali tidak memiliki fitur keamanan yang tepat, atau telah mencapai akhir hidup atau diakses kiri dengan konfigurasi dan kata sandi default, membuatnya matang untuk eksploitasi dan saluran utama untuk serangan DDOS.
“Aktor ancaman biasanya mengklaim bahwa botnet hanya digunakan untuk tujuan pengujian mitigasi DDOS untuk mencoba menyesatkan para peneliti atau penegak hukum,” kata para peneliti.
“Aktor ancaman akan mengklaim itu hanya POC atau sesuatu yang mendidik, tetapi analisis yang lebih dalam menunjukkan bahwa mereka sebenarnya mengiklankan DDOS sebagai layanan, atau pemilik membual tentang menjalankan botnet mereka sendiri di telegram.”
