Aquabot-botnet
Er is een Mirai-gebaseerde botnetvariant, bekend als Aquabot, gedetecteerd die actief probeert een beveiligingslek te misbruiken dat Mitel-telefoons treft. De aanvallers willen deze apparaten integreren in een botnet dat Distributed Denial-of-Service (DDoS)-aanvallen kan uitvoeren.
Inhoudsopgave
De kwetsbaarheid in beeld: CVE-2024-41710
De beoogde beveiligingsfout, CVE-2024-41710, heeft een CVSS-score van 6,8 en is het gevolg van een command injection-kwetsbaarheid in het opstartproces. Deze fout kan aanvallers in staat stellen willekeurige opdrachten uit te voeren binnen de operationele omgeving van de telefoon.
Betrokken apparaten en patchdetails
De kwetsbaarheid heeft invloed op meerdere Mitel-telefoonmodellen, waaronder de 6800-serie, 6900-serie, 6900w-serie SIP-telefoons en de 6970 Conference Unit. Mitel heeft het probleem in juli 2024 aangepakt, maar in augustus werd een proof-of-concept (PoC)-exploit openbaar gemaakt, wat mogelijk de deur opent voor dreigingsactoren.
Meer dan één kwetsbaarheid in het spel
Naast CVE-2024-41710 is waargenomen dat Aquabot zich richt op aanvullende kwetsbaarheden, waaronder CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 en CVE-2023-26801. Het botnet heeft ook geprobeerd een fout in de uitvoering van externe code in Linksys E-serie-apparaten te misbruiken, wat duidt op een breed aanvalsoppervlak.
Aquabot: een Mirai-gebaseerd botnet met een geschiedenis
Aquabot is een botnet afgeleid van het beruchte Mirai -framework, dat expliciet is ontworpen voor het uitvoeren van DDoS-aanvallen. Onderzoekers volgen de activiteit ervan sinds november 2023, met bewijs van voortdurende evolutie.
Het misbruiken van de fout: aanvalsmechanisme
De eerste tekenen van actieve exploitatie tegen CVE-2024-41710 kwamen begin januari 2025 naar voren. Aanvallers implementeren de botnet-malware door een shellscript uit te voeren, dat de bedreigende payload ophaalt met behulp van de opdracht 'wget'. De aanvalsmethode lijkt sterk op de openbaar beschikbare PoC-exploit.
Een stealthier en meer geavanceerde variant
De Aquabot-variant die bij deze aanvallen betrokken is, lijkt de derde iteratie van de malware te zijn. Het introduceert een nieuwe 'report_kill'-functie, die terugrapporteert naar de Command-and-Control (C2)-server wanneer het botnetproces wordt beëindigd. Er is echter geen bewijs dat deze functie een onmiddellijke reactie van de server triggert.
Bovendien vermomt de nieuwe variant zich als 'httpd.x86' om detectie te voorkomen en is geprogrammeerd om specifieke processen te beëindigen, zoals lokale shells. Deze verfijningen suggereren pogingen om Aquabot ontwijkender te maken en mogelijk concurrerende botnetactiviteit te detecteren.
Toegang verkopen: de ondergrondse DDoS-for-Hire-operatie
Er zijn tekenen die erop wijzen dat de dreigingsactoren achter Aquabot hun botnet aanbieden als een DDoS-service op Telegram. Ze opereren onder aliassen zoals Cursinq Firewall, The Eye Services en The Eye Botnet, waarbij ze gecompromitteerde hosts gebruiken om aanvalsmogelijkheden te bieden aan betalende klanten.
Het grotere plaatje: Mirai's aanhoudende bedreiging
De heropleving van Mirai-gebaseerde bedreigingen zoals Aquabot benadrukt de aanhoudende risico's die gepaard gaan met apparaten die met het internet zijn verbonden. Veel van deze apparaten hebben last van ontoereikende beveiliging, verouderde software of standaardreferenties, waardoor ze makkelijke doelwitten zijn voor misbruik.
Een misleidende rechtvaardiging van aanvallers
Threat actoren beweren vaak dat hun botnet-operaties puur voor test- of educatieve doeleinden zijn, in een poging onderzoekers en wetshandhaving te misleiden. Echter, verdere analyse onthult vaak hun ware bedoelingen: DDoS-diensten aanbieden of openlijk opscheppen over hun botnet-activiteiten in ondergrondse forums en Telegram-kanalen.
