Aquabot-Botnetz
Eine auf Mirai basierende Botnet-Variante namens Aquabot wurde entdeckt, als sie aktiv versuchte, eine Sicherheitslücke in Mitel-Telefonen auszunutzen. Die Angreifer wollen diese Geräte in ein Botnet integrieren, das Distributed-Denial-of-Service-Angriffe (DDoS) starten kann.
Inhaltsverzeichnis
Die Schwachstelle im Fokus: CVE-2024-41710
Die angegriffene Sicherheitslücke CVE-2024-41710 hat einen CVSS-Score von 6,8 und ist auf eine Schwachstelle bei der Befehlseinschleusung im Bootvorgang zurückzuführen. Diese Schwachstelle kann es Angreifern ermöglichen, beliebige Befehle in der Betriebsumgebung des Telefons auszuführen.
Betroffene Geräte und Patchdetails
Die Schwachstelle betrifft mehrere Telefonmodelle von Mitel, darunter die SIP-Telefone der Serien 6800, 6900 und 6900w sowie die Konferenzeinheit 6970. Mitel hat das Problem im Juli 2024 behoben, doch im August wurde ein Proof-of-Concept (PoC)-Exploit öffentlich verfügbar, der Bedrohungsakteuren möglicherweise Tür und Tor öffnet.
Mehr als eine Schwachstelle im Spiel
Neben CVE-2024-41710 wurde beobachtet, dass Aquabot auf weitere Schwachstellen abzielt, darunter CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 und CVE-2023-26801. Das Botnetz hat auch versucht, einen Remote-Code-Ausführungsfehler in Geräten der Linksys E-Serie auszunutzen, was auf eine breite Angriffsfläche hindeutet.
Aquabot: Ein Mirai-basiertes Botnetz mit Geschichte
Aquabot ist ein Botnetz, das aus dem berüchtigten Mirai -Framework abgeleitet und explizit für die Ausführung von DDoS-Angriffen entwickelt wurde. Forscher verfolgen seine Aktivitäten seit November 2023 und haben Hinweise auf eine kontinuierliche Weiterentwicklung.
Ausnutzen des Fehlers: Angriffsmechanismus
Die ersten Anzeichen einer aktiven Ausnutzung von CVE-2024-41710 traten Anfang Januar 2025 auf. Angreifer setzen die Botnet-Malware ein, indem sie ein Shell-Skript ausführen, das die bedrohliche Nutzlast mit dem Befehl „wget“ abruft. Die Angriffsmethode ähnelt stark dem öffentlich verfügbaren PoC-Exploit.
Eine heimlichere und fortschrittlichere Variante
Die an diesen Angriffen beteiligte Aquabot-Variante scheint die dritte Iteration der Malware zu sein. Sie führt eine neuartige „report_kill“-Funktion ein, die dem Command-and-Control-Server (C2) immer dann eine Rückmeldung gibt, wenn der Botnet-Prozess beendet wird. Es gibt jedoch keine Hinweise darauf, dass diese Funktion eine sofortige Reaktion des Servers auslöst.
Darüber hinaus tarnt sich die neue Variante als „httpd.x86“, um nicht entdeckt zu werden, und ist so programmiert, dass sie bestimmte Prozesse, wie lokale Shells, beendet. Diese Verbesserungen lassen darauf schließen, dass Aquabot weniger anfällig für Angriffe ist und möglicherweise konkurrierende Botnetzaktivitäten erkennen soll.
Zugang verkaufen: Die unterirdische DDoS-for-Hire-Operation
Es gibt Hinweise darauf, dass die Bedrohungsakteure hinter Aquabot ihr Botnetz als DDoS-Dienst auf Telegram anbieten. Sie agieren unter Decknamen wie Cursinq Firewall, The Eye Services und The Eye Botnet und nutzen kompromittierte Hosts, um zahlenden Kunden Angriffsmöglichkeiten zu bieten.
Das Gesamtbild: Mirais anhaltende Bedrohung
Das Wiederaufleben von Mirai-basierten Bedrohungen wie Aquabot unterstreicht die anhaltenden Risiken, die mit internetfähigen Geräten verbunden sind. Viele dieser Geräte leiden unter unzureichender Sicherheit, veralteter Software oder Standardanmeldeinformationen, was sie zu einem leichten Ziel für Angriffe macht.
Eine irreführende Begründung der Angreifer
Bedrohungsakteure behaupten oft, dass ihre Botnet-Aktivitäten nur zu Test- oder Bildungszwecken dienen, und versuchen damit, Forscher und Strafverfolgungsbehörden in die Irre zu führen. Bei genauerer Analyse kommen jedoch häufig ihre wahren Absichten ans Licht: Sie bieten DDoS-Dienste an oder prahlen offen mit ihren Botnet-Aktivitäten in Untergrundforen und Telegram-Kanälen.
