Botnet Aquabot : un autre acteur dans le paysage des menaces DDoS

Comprendre le botnet Aquabot

Aquabot est un botnet basé sur le framework Mirai , une souche de malware bien connue utilisée pour prendre le contrôle des appareils connectés à Internet pour des activités cybernétiques perturbatrices. Depuis son apparition fin 2023, il a été identifié comme un outil principalement conçu pour exécuter des attaques par déni de service distribué (DDoS) à grande échelle. Il a récemment attiré l'attention pour ses tentatives d'exploitation d'une faille de sécurité dans les téléphones Mitel, dans le but d'étendre son réseau d'appareils compromis.

La vulnérabilité ciblée, désignée CVE-2024-41710, est une faille d'injection de commandes dans le processus de démarrage de certains modèles de téléphones SIP Mitel. Si elle est exploitée avec succès, elle donne aux attaquants la possibilité d'exécuter des commandes arbitraires sur les appareils affectés, les inscrivant ainsi dans le réseau croissant d'Aquabot. Bien que Mitel ait publié un correctif de sécurité pour le problème à la mi-2024, les attaquants ont poursuivi leurs efforts pour compromettre les appareils qui ne sont toujours pas corrigés.

L'objectif d'Aquabot

L'objectif principal d'Aquabot est de mener des attaques DDoS. Ces types d'attaques consistent à submerger les réseaux ou services ciblés avec un trafic excessif, provoquant des perturbations et des pannes potentielles. Des rapports suggèrent que les personnes derrière Aquabot pourraient offrir l'accès à ce botnet en tant que service, permettant aux clients de lancer leurs propres attaques DDoS. Des preuves de telles opérations ont fait surface sur Telegram, où les cybercriminels semblent faire de la publicité sous des pseudonymes tels que Cursinq Firewall, The Eye Services et The Eye Botnet.

Si certains affirment qu'Aquabot est utilisé uniquement à des fins de test ou d'enseignement, une analyse plus approfondie contredit ces affirmations. L'infrastructure du botnet correspond aux modèles généralement associés aux services de cyberattaque payants, renforçant les soupçons sur sa véritable intention.

Comment se propage Aquabot

Les dernières activités d'Aquabot impliquent l'exploitation de plusieurs vulnérabilités au-delà de la seule faille du téléphone Mitel. Le botnet a été observé ciblant des faiblesses de sécurité connues, notamment CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 et CVE-2023-26801, entre autres. Certaines de ces vulnérabilités affectent les routeurs et autres équipements connectés à Internet, ce qui permet à Aquabot d'infiltrer des appareils sur un large spectre.

Une fois qu'un appareil est compromis, un script est exécuté pour récupérer le malware du botnet. Lors d'attaques récentes, Aquabot a été observé en train de récupérer sa charge utile à l'aide de la commande « wget », qui lui permet de télécharger et d'installer les composants nécessaires à l'exécution.

La dernière itération du botnet inclut une fonction notable appelée « report_kill », qui alerte le serveur de commande et de contrôle (C2) lorsqu'un appareil infecté reçoit un signal de fin de l'attaque. Bien qu'aucune réponse immédiate du serveur C2 n'ait été détectée suite à cette notification, cette fonctionnalité suggère que l'architecture du botnet est en cours de perfectionnement. De plus, Aquabot tente d'échapper à la détection en se renommant « httpd.x86 » et en mettant fin à des processus spécifiques qui pourraient interférer avec ses opérations.

Les implications de l'activité d'Aquabot

L'évolution continue des botnets basés sur Mirai comme Aquabot met en évidence les problèmes de sécurité persistants associés aux appareils connectés à Internet. De nombreux appareils ciblés manquent de mesures de sécurité robustes, ont atteint la fin de leur durée de vie ou restent configurés avec des identifiants par défaut. Cela en fait des cibles attrayantes pour les cybercriminels qui cherchent à créer des botnets de grande envergure avec un minimum d'efforts.

La possibilité que des cybercriminels exploitent le réseau d'Aquabot pour lancer des attaques à grande échelle contre des entreprises, des gouvernements ou des infrastructures critiques est de plus en plus préoccupante. Les attaques DDoS peuvent entraîner des pannes de service, des pertes financières et des atteintes à la réputation, en particulier pour les organisations qui dépendent des plateformes en ligne. En outre, la présence d'un service de marché noir vendant l'accès à Aquabot augmente la probabilité d'abus généralisés, car des individus ayant peu de connaissances techniques pourraient potentiellement lancer leurs propres attaques.

La vue d’ensemble

L’émergence d’Aquabot met en évidence le problème plus vaste de la cybersécurité dans le domaine de l’IoT (Internet des objets) et des appareils en réseau. De nombreux fabricants privilégient encore la fonctionnalité à la sécurité, ce qui laisse des vulnérabilités que les attaquants sont prompts à exploiter. Si les mises à jour et les correctifs logiciels offrent une défense contre les exploits connus, le défi reste de garantir que les utilisateurs appliquent ces mises à jour en temps opportun.

À mesure que les botnets continuent d'évoluer, les attaquants affinent leurs méthodes pour maintenir leur persistance et éviter d'être détectés. L'introduction de fonctionnalités telles que « report_kill » suggère une évolution vers des tactiques plus sophistiquées, ouvrant potentiellement la voie à des variantes encore plus furtives à l'avenir.

Réflexions finales

Aquabot est un autre exemple de la façon dont les acteurs malveillants exploitent les vulnérabilités existantes pour étendre leur portée. Si les efforts visant à corriger les appareils affectés sont essentiels, s’attaquer aux causes profondes, telles que les pratiques de sécurité faibles et le matériel obsolète, reste un défi fondamental. Alors que les cybercriminels proposent activement des services de botnet sur des plateformes clandestines, l’importance de mesures de cybersécurité robustes n’a jamais été aussi évidente.

Les entreprises comme les particuliers doivent rester vigilants et s’assurer que leurs appareils sont correctement protégés contre les menaces émergentes telles qu’Aquabot. Des mises à jour régulières, des pratiques d’authentification strictes et une surveillance du réseau sont des étapes essentielles pour atténuer le risque posé par les botnets dans le paysage de la cybersécurité en constante évolution.

Par Willa
February 3, 2025
Malware
Français
February 3, 2025
Malware

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.