Das Akamai Security Intelligence and Response Team (SIRT) hat eine neue Variante der Mirai-basierten Malware Aquabot identifiziert, die gezielt Mitel SIP-Telefone angreift. Aquabotv3 nutzt eine bestimmte Schwachstelle und sendet Rückmeldungen an das Command and Control (C2). Nutzer sollten ihre IoT-Geräte überprüfen und sichere Anmeldeinformationen verwenden, um sich zu schützen.
Da dies die dritte unterschiedliche Iteration von Aquabot ist, hat Akamai sie Aquabotv3 genannt. Aquabot ist ein Botnet, das mit dem Ziel eines verteilten Denial of Service (DDoS) auf dem Mirai-Framework aufgebaut wurde. Es ist seit November 2023 bekannt und wurde erstmals von Antiy Labs berichtet.
Im aktuell entdeckten Fall nutzt die Malware CVE-2024-41710 aus, eine Kommando-Injektions-Schwachstelle, die Mitel-Modelle betrifft. Die Malware zeigt ein noch nie zuvor bei einer Mirai-Variante beobachtetes Verhalten: eine Funktion (report_kill), um zurück an das Command and Control (C2) zu melden, wenn ein Kill-Signal auf dem infizierten Gerät empfangen wurde.
Mirai und DDoS gehen Hand in Hand
DDoS bleibt eine allgegenwärtige Bedrohung für viele Organisationen. Botnets wie Aquabot sind dabei zentrale Akteure. Da die Mehrheit dieser Botnets auf Mirai-Malware basiert, zielen sie hauptsächlich auf Internet of Things (IoT)-Geräte, was die Verbreitung der Malware relativ einfach macht.
Unabhängig von den Absichten des Angreifers kann das Ergreifen von Maßnahmen bei ungesicherten IoT-Geräten (wie die Entdeckung und Änderung von Standardanmeldedaten) im Kampf gegen DDoS helfen. Viele dieser Botnets verlassen sich auf gängige Passwortbibliotheken für die Authentifizierung.
Was ist zu tun?
Nutzer sollten herausfinden, wo sich ihre bekannten IoT-Geräte befinden, und auch nicht autorisierte Geräte überprüfen. Außerdem ist empfohlen, Anmeldedaten zu kontrollieren und zu ändern, wenn sie standardmäßig oder leicht zu erraten sind.