{"id":916,"date":"2024-11-13T11:05:08","date_gmt":"2024-11-13T11:05:08","guid":{"rendered":"https:\/\/holosrintr.com\/?p=916"},"modified":"2024-11-13T11:05:08","modified_gmt":"2024-11-13T11:05:08","slug":"sous-lapparence-dun-pentester-le-botnet-aquabot-a-trouve-un-moyen-astucieux-de-sintroduire-dans-les-reseaux-dentreprise","status":"publish","type":"post","link":"https:\/\/holosrintr.com\/?p=916","title":{"rendered":"Sous l’apparence d’un pentester : le botnet Aquabot a trouv\u00e9 un moyen astucieux de s’introduire dans les r\u00e9seaux d’entreprise"},"content":{"rendered":"

L’\u00e9quipe SIRT d’Akamai a d\u00e9couvert la troisi\u00e8me version du botnet Aquabot bas\u00e9 sur le code Mirai qui exploite activement la vuln\u00e9rabilit\u00e9 CVE-2024-41710 des t\u00e9l\u00e9phones SIP Mitel. Le bogue permet un acc\u00e8s racine \u00e0 l’appareil via des fichiers de configuration vuln\u00e9rables.<\/p>\n

Aquabot a \u00e9t\u00e9 signal\u00e9 pour la premi\u00e8re fois en novembre 2023 et a \u00e9volu\u00e9 depuis. La premi\u00e8re version reproduisait les fonctionnalit\u00e9s de base de Mirai, la deuxi\u00e8me version a gagn\u00e9 des m\u00e9canismes pour cacher et emp\u00eacher les red\u00e9marrages, et la troisi\u00e8me version inclut une nouvelle fonctionnalit\u00e9 pour ce type de botnet – l’envoi de signaux au serveur C2 lors de tentatives de mettre fin au logiciel malveillant. Les chercheurs notent qu’ils n’ont pas encore d\u00e9tect\u00e9 la r\u00e9ponse du serveur C2 \u00e0 ces signaux.<\/p>\n

La vuln\u00e9rabilit\u00e9 CVE-2024-41710 identifi\u00e9e dans les t\u00e9l\u00e9phones SIP des s\u00e9ries 6800, 6900 et 6900w de Mitel est li\u00e9e \u00e0 un filtrage d’entr\u00e9e insuffisant. Elle a \u00e9t\u00e9 divulgu\u00e9e publiquement en juillet 2024, et un PoC a \u00e9t\u00e9 publi\u00e9 en ao\u00fbt, d\u00e9montrant la possibilit\u00e9 d’ex\u00e9cuter un code arbitraire. Dans cette attaque, les attaquants envoient une requ\u00eate HTTP POST sp\u00e9cialement con\u00e7ue pour modifier le fichier de configuration local du t\u00e9l\u00e9phone et ex\u00e9cuter du code au d\u00e9marrage de l’appareil.<\/p>\n

La premi\u00e8re exploitation enregistr\u00e9e de la vuln\u00e9rabilit\u00e9 a eu lieu en janvier 2025, lorsque le SIRT d’Akamai a d\u00e9tect\u00e9 des tentatives d’attaques par l’interm\u00e9diaire de son r\u00e9seau de pots de miel. Le botnet utilise le t\u00e9l\u00e9chargement et l’ex\u00e9cution du script bin.sh pour t\u00e9l\u00e9charger et ex\u00e9cuter des fichiers Mirai sous diff\u00e9rentes architectures (x86, ARM, MIPS et autres). Cela confirme qu’Aquabot appartient \u00e0 la famille Mirai.<\/p>\n

Une nouvelle fonction defend_binary() a \u00e9t\u00e9 trouv\u00e9e dans le code d’Aquabotv3, qui intercepte les signaux de fin de processus SIGTERM, SIGINT et SIGKILL et les signale au serveur C2 via une connexion TCP. Ce m\u00e9canisme peut \u00eatre utilis\u00e9 par les op\u00e9rateurs pour surveiller l’activit\u00e9 des programmes antivirus ou des r\u00e9seaux de zombies concurrents, ainsi que pour am\u00e9liorer les logiciels malveillants \u00e0 l’avenir.<\/p>\n

Outre les t\u00e9l\u00e9phones Mitel, le botnet attaque les appareils vuln\u00e9rables en utilisant des vuln\u00e9rabilit\u00e9s connues, notamment Hadoop YARN, Linksys E-series RCE et CVE-2023-26801. Dans tous les cas, le logiciel malveillant utilise le t\u00e9l\u00e9chargement d’un script pour propager Aquabot vers de nouveaux appareils.<\/p>\n","protected":false},"excerpt":{"rendered":"

L’\u00e9quipe SIRT d’Akamai a d\u00e9couvert la troisi\u00e8me version du botnet Aquabot bas\u00e9 sur le code Mirai qui exploite activement la vuln\u00e9rabilit\u00e9 CVE-2024-41710 des t\u00e9l\u00e9phones SIP Mitel. Le bogue permet un acc\u00e8s racine \u00e0 l’appareil via des fichiers de configuration vuln\u00e9rables. Aquabot a \u00e9t\u00e9 signal\u00e9 pour la premi\u00e8re fois en novembre 2023 et a \u00e9volu\u00e9 depuis. […]<\/p>\n","protected":false},"author":2,"featured_media":917,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[18],"tags":[],"class_list":["post-916","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurite"],"_links":{"self":[{"href":"https:\/\/holosrintr.com\/index.php?rest_route=\/wp\/v2\/posts\/916","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/holosrintr.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/holosrintr.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/holosrintr.com\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/holosrintr.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=916"}],"version-history":[{"count":2,"href":"https:\/\/holosrintr.com\/index.php?rest_route=\/wp\/v2\/posts\/916\/revisions"}],"predecessor-version":[{"id":939,"href":"https:\/\/holosrintr.com\/index.php?rest_route=\/wp\/v2\/posts\/916\/revisions\/939"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/holosrintr.com\/index.php?rest_route=\/wp\/v2\/media\/917"}],"wp:attachment":[{"href":"https:\/\/holosrintr.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=916"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/holosrintr.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=916"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/holosrintr.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=916"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}