Uma nova versão do malware botnet Aquabot, denominada Aquabotv3, foi identificada explorando ativamente a vulnerabilidade CVE-2024-41710 em telefones SIP da Mitel. Essa falha permite a injeção de comandos devido a uma sanitização inadequada de parâmetros durante a inicialização dos dispositivos.
Como o Aquabotv3 opera?
O malware, descoberto pela equipe SIRT da Akamai, representa a terceira variante do Aquabot, introduzido inicialmente em 2023. Esta versão se destaca pelo seu mecanismo inovador de detectar tentativas de remoção e relatar ao seu servidor de comando e controle (C2), permitindo aos operadores um monitoramento mais eficiente.
A vulnerabilidade afeta telefones SIP das séries 6800, 6900 e 6900w, amplamente utilizados em empresas, hospitais, instituições educacionais, hotéis e agências governamentais. Embora considerada de média gravidade, a falha permite que invasores autenticados executem comandos arbitrários ao explorar parâmetros vulneráveis.
Exploração e propagação
A Mitel lançou um patch de segurança em julho de 2024, mas pouco tempo depois, o pesquisador Kyle Burns publicou uma prova de conceito (PoC) no GitHub, facilitando a exploração por hackers.
A botnet Aquabotv3 utiliza este PoC para explorar o CVE-2024-41710, enviando requisições HTTP POST ao endpoint vulnerável 8021xsupport.html. Ao manipular a configuração do telefone, os invasores conseguem executar um script remoto (bin.sh) que instala a carga maliciosa do Aquabot.
Persistência e ataque DDoS
Depois de comprometido, o Aquabotv3 se conecta ao seu servidor C2 via TCP, permitindo o recebimento de comandos para ataques DDoS, propagação e atualizações. O malware também utiliza força bruta para comprometer credenciais SSH e Telnet em dispositivos vulneráveis.
Notícias Relacionadas
Segurança cibernética
Ataques cibernéticos com MintsLoader distribuem StealC e BOINC
Descubra como o malware MintsLoader está sendo usado para distribuir StealC e BOINC, visando setores estratégicos na Europa e nos EUA. Saiba mais sobre as técnicas avançadas usadas pelos cibercriminosos.
Ataque furtivo
Gangue usa SSH para invadir VMWare ESXi
Hackers utilizam túneis SSH para invadir o VMware ESXi, explorando vulnerabilidades ou credenciais comprometidas. A abordagem permite acesso persistente e movimentação furtiva nas redes corporativas.
Entre os ataques DDoS executados pelo Aquabotv3 estão:
- TCP SYN
- TCP ACK
- UDP
- GRE IP
- Ataques na camada de aplicação
O operador da botnet vende seus serviços de DDoS no Telegram, sob nomes como Cursinq Firewall, The Eye Services e The Eye Botnet, promovendo-o como uma ferramenta para testar mitigação de ataques.
Como se proteger?
A Akamai recomenda que usuários e administradores tomem as seguintes medidas:
- Atualizar os dispositivos Mitel com os patches de segurança disponíveis.
- Restringir o acesso administrativo a redes seguras.
- Monitorar logs de rede para identificar atividades suspeitas.
- Implementar firewalls e regras de segurança para bloqueio de exploração da falha.
A empresa também publicou regras do Snort e do YARA para detectar sinais de comprometimento do Aquabotv3. Ficar atento a essas ameaças e reforçar medidas de segurança é essencial para evitar que redes e dispositivos sejam alvos desse malware.
