Nuova variante del botnet Aquabot

Una nuova variante del botnet Aquabot, basata sul framework Mirai e denominata Aquabotv3, è stata recentemente individuata mentre sfrutta una vulnerabilità di sicurezza nei telefoni SIP di Mitel (CVE-2024-41710).
Questa vulnerabilità, classificata con una gravità media (CVSS 6.8), consente l'esecuzione di comandi arbitrari durante il processo di avvio dei dispositivi grazie a un'inadeguata sanitizzazione dei parametri di input.
I modelli colpiti includono le serie Mitel 6800, 6900, 6900w e l'unità conferenze 6970, utilizzati principalmente in contesti aziendali e istituzionali.

Caratteristiche principali di Aquabotv3:

• Meccanismo "report_kill": La variante segnala al server di comando e controllo (C2) quando viene rilevato un tentativo di rimozione del malware, una funzionalità insolita per i botnet Mirai, che potrebbe essere usata per monitorare lo stato della rete infetta o sviluppare versioni più sofisticate
• Persistenza e propagazione: Dopo aver compromesso un dispositivo, Aquabotv3 stabilisce una connessione con il server C2 e tenta di diffondersi ad altri dispositivi IoT sfruttando vulnerabilità note in router e firmware.
• Obiettivo principale: Reclutare dispositivi per attacchi DDoS (Distributed Denial of Service), pubblicizzati dai cybercriminali su Telegram come strumenti di "stress testing".

Modalità di attacco:
Gli aggressori iniziano con attacchi brute-force per ottenere accesso amministrativo ai dispositivi vulnerabili.
Successivamente, inviano richieste HTTP POST manipolate per iniettare comandi dannosi nella configurazione locale del dispositivo. Questo permette l'esecuzione di script che scaricano e installano il malware.

Mitigazione:
Mitel ha rilasciato una patch per questa vulnerabilità nel luglio 2024. Si raccomanda alle organizzazioni di aggiornare immediatamente i firmware dei dispositivi interessati e di adottare misure preventive come il cambio delle credenziali predefinite.

Fonti: CSIRT Italia, Akamai, DarkReading