Een nieuwe variant van het beruchte Mirai-botnet, genaamd Aquabot, misbruikt actief een beveiligingslek in Mitel-telefoons om deze in te zetten voor grootschalige DDoS-aanvallen (Distributed Denial-of-Service).
De kwetsbaarheid, CVE-2024-41710, heeft een ernstscore van 6.8 op de CVSS-schaal en maakt misbruik van een fout in het opstartproces van de telefoon. Hierdoor kunnen aanvallers kwaadaardige opdrachten uitvoeren binnen het systeem van de telefoon. Dit probleem treft verschillende modellen, waaronder de Mitel 6800-, 6900- en 6900w-serie SIP-telefoons en de Mitel 6970-conferentie-unit. Mitel heeft deze kwetsbaarheid in juli 2024 verholpen, maar in augustus werd een proof-of-concept (PoC) exploit openbaar, waardoor kwaadwillenden eenvoudig konden zien hoe de zwakke plek misbruikt kan worden.
Naast deze specifieke kwetsbaarheid richt het Aquabot-botnet zich ook op andere beveiligingslekken, waaronder CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 en CVE-2023-26801. Ook apparaten uit de Linksys E-serie lopen gevaar vanwege een kwetsbaarheid voor remote code execution.
Sinds januari 2025 zijn er actieve pogingen waargenomen om CVE-2024-41710 te misbruiken. Onderzoekers van Akamai hebben vastgesteld dat de aanvallers een bijna identieke payload gebruiken als in de openbaar gemaakte exploit om de Aquabot-malware op de getroffen apparaten te installeren.
De aanval verloopt via een shell-script dat het “wget”-commando gebruikt om de Aquabot-malware binnen te halen, specifiek aangepast voor verschillende soorten processors. Dit maakt het botnet flexibel en breed inzetbaar.
Deze nieuwste variant van Aquabot heeft een aantal geavanceerde functionaliteiten, waaronder een "report_kill"-functie. Dit betekent dat wanneer een geïnfecteerd apparaat een "kill"-signaal ontvangt, het botnet een melding stuurt naar de centrale besturingsserver (C2-server). Hoewel de server hier nog niet actief op lijkt te reageren, suggereert dit dat de makers mogelijk bezig zijn met verdere ontwikkelingen van de malware.
Daarnaast verbergt de malware zichzelf door een nieuwe naam ("httpd.x86") aan te nemen, zodat deze niet opvalt in de systeemprocessen. Ook is het zo geprogrammeerd dat het bepaalde processen afsluit, zoals lokale shell-sessies, wat kan duiden op een poging om concurrerende botnets buiten spel te zetten.
Er zijn aanwijzingen dat de makers van Aquabot hun botnet aanbieden als een betaalde DDoS-dienst op Telegram, onder namen zoals Cursinq Firewall, The Eye Services en The Eye Botnet. Dit betekent dat kwaadwillenden eenvoudig toegang kunnen kopen tot een netwerk van geïnfecteerde apparaten om grootschalige DDoS-aanvallen uit te voeren.
Dit onderstreept opnieuw hoe Mirai-gebaseerde botnets een grote dreiging blijven vormen voor internetapparaten met zwakke beveiliging. Veel van deze apparaten hebben verouderde firmware of staan nog ingesteld met standaardwachtwoorden, waardoor ze makkelijke doelwitten zijn.
Hoewel de beheerders van deze botnets vaak beweren dat ze hun netwerken alleen gebruiken voor "testdoeleinden" of "educatieve projecten", wijst nader onderzoek erop dat het in werkelijkheid draait om commerciële DDoS-aanvallen. Op Telegram wordt openlijk geadverteerd met de diensten van deze botnets, wat bevestigt dat cybercriminelen hier misbruik van maken.
Om te voorkomen dat jouw apparaten worden misbruikt door botnets zoals Aquabot, is het belangrijk om:
✔ Software-updates en beveiligingspatches zo snel mogelijk te installeren.
✔ Sterke wachtwoorden te gebruiken en standaardlogins te wijzigen.
✔ Onnodige externe toegang tot apparaten te beperken.
✔ Netwerkverkeer te monitoren op verdachte activiteiten.
Het Aquabot-botnet laat zien dat cybercriminelen voortdurend op zoek zijn naar nieuwe kwetsbaarheden om uit te buiten. Door proactief maatregelen te nemen, kunnen organisaties en individuen zich beter beschermen tegen deze bedreigingen.
