Под маской пентестера: ботнет Aquabot нашел хитрый путь к корпоративным сетям

Команда Akamai SIRT обнаружила третью версию ботнета Aquabot, основанного на коде Mirai, который активно эксплуатирует уязвимость CVE-2024-41710 в SIP-телефонах Mitel. Ошибка позволяет получить root-доступ к устройству через уязвимые конфигурационные файлы.

Aquabot впервые был зафиксирован в ноябре 2023 года и с тех пор эволюционировал. Первая версия повторяла базовый функционал Mirai, вторая получила механизмы сокрытия и предотвращения перезагрузки, а третья включает новую для этого типа ботнетов функцию — отправку сигналов на C2-сервер при попытках завершения работы вредоноса. Исследователи отмечают, что пока не зафиксировали ответной реакции C2 на сигналы.

Уязвимость CVE-2024-41710, выявленная в SIP-телефонах Mitel серий 6800, 6900 и 6900w, связана с недостаточной фильтрацией входных данных. Она была публично раскрыта в июле 2024 года, а в августе был опубликован PoC, демонстрирующий возможность выполнения произвольного кода. В ходе атаки злоумышленники отправляют специально сформированный HTTP POST-запрос, позволяющий модифицировать локальный конфигурационный файл телефона и выполнить код при загрузке устройства.

Первая зафиксированная эксплуатация уязвимости произошла в январе 2025 года, когда Akamai SIRT обнаружила попытки атак через свою сеть honeypot-систем. Ботнет использует скачивание и запуск скрипта bin.sh с дальнейшей загрузкой и выполнением файлов Mirai под различные архитектуры (x86, ARM, MIPS и другие). Это подтверждает принадлежность Aquabot к семейству Mirai.

В коде Aquabotv3 обнаружена новая функция defend_binary(), которая перехватывает сигналы завершения процессов SIGTERM, SIGINT и SIGKILL и сообщает об этом C2-серверу через TCP-соединение. Такой механизм может использоваться операторами для мониторинга активности антивирусных программ или конкурирующих ботнетов, а также для будущих усовершенствований вредоноса.

Кроме телефонов Mitel, ботнет атакует уязвимые устройства с помощью известных уязвимостей, включая Hadoop YARN, Linksys E-series RCE и CVE-2023-26801. Во всех случаях вредонос использует загрузку скрипта для распространения Aquabot на новые устройства.

Исследователи также обнаружили, что Aquabot продвигается как услуга DDoS-атак в Telegram под различными названиями – Cursinq Firewall и The Eye Services. Хотя операторы заявляют, что ботнет предназначен для тестирования DDoS-защиты, анализ показал активное распространение вредоносного кода.

Специалисты рекомендуют владельцам устройств Mitel немедленно обновить прошивку, изменить стандартные пароли и провести аудит подключенных IoT-устройств. Поскольку Aquabot использует широко известные уязвимости, своевременные обновления и усиление мер безопасности могут значительно снизить риск заражения.