Sicherheitsforscher von Akamai haben eine neue, hochentwickelte Version der Aquabot-Malware identifiziert, die auf Basis des berüchtigten Mirai-Codes entwickelt wurde. Die dritte Generation dieser Schadsoftware nutzt gezielt die Sicherheitslücke CVE-2024-41710 in Mitel SIP-Telefonen aus und stellt damit eine erhebliche Bedrohung für Unternehmensinfrastrukturen dar.
Technische Innovationen der neuen Aquabot-Version
Die aktuelle Version von Aquabot zeichnet sich durch fortschrittliche Überwachungsmechanismen aus, die Deaktivierungsversuche erkennen und an Command-and-Control-Server melden. Diese Funktionalität hebt sich deutlich von herkömmlichen Botnet-Architekturen ab und erschwert die Erkennung sowie Entfernung der Malware erheblich.
Angriffsmethodik und betroffene Systeme
Die Sicherheitslücke CVE-2024-41710 betrifft spezifisch die Mitel SIP-Telefone der Serien 6800, 6900 und 6900w. Die Angreifer kombinieren Brute-Force-Attacken auf Administratorzugänge mit der Ausnutzung einer Schwachstelle im 8021xsupport.html-Endpunkt. Durch mangelhafte Eingabevalidierung ermöglicht dies das Einschleusen von schädlichem Code in die Gerätekonfiguration.
Infektionsprozess und Verbreitungsstrategie
Nach erfolgreicher Kompromittierung eines Geräts lädt Aquabot eine architekturspezifische Payload herunter. Die Malware nutzt für ihre Verbreitung ein Arsenal bekannter Schwachstellen in IoT-Geräten, darunter:
– CVE-2018-17532 in TP-Link-Produkten
– CVE-2023-26801 für IoT-Firmware
– CVE-2022-31137 für Web-Anwendungen
– Verschiedene Schwachstellen in Linksys-Geräten und Hadoop YARN
Monetarisierung und Bedrohungslandschaft
Die Hauptfunktion von Aquabot liegt in der Durchführung verschiedener DDoS-Attacken, einschließlich TCP SYN, TCP ACK, UDP und Application-Layer-Angriffe. Die Betreiber vermarkten ihre Dienste über Telegram unter den Namen „Cursinq Firewall“ und „The Eye Services“, wobei sie ihre schädlichen Aktivitäten als legitime Sicherheitstests tarnen.
Zur Absicherung gegen diese Bedrohung empfehlen Sicherheitsexperten die konsequente Implementierung mehrschichtiger Schutzmaßnahmen. Dazu gehören die zeitnahe Installation von Sicherheitsupdates, die Verwendung komplexer Administratorpasswörter und regelmäßige Sicherheitsaudits der Netzwerkinfrastruktur. Besonders wichtig ist der Schutz von IoT-Geräten, die aufgrund oft mangelhafter Sicherheitskonfigurationen bevorzugte Angriffsziele darstellen. Unternehmen sollten ihre Netzwerksegmentierung überprüfen und IoT-Geräte in separaten, überwachten Netzwerksegmenten betreiben.
