Два ботнета, проследени като „Ficora“ и „Capsaicin“, са регистрирали повишена активност при атакуването на рутери D-Link, които са с изтекъл срок на експлоатация или са с остарели версии на фърмуера.
Списъкът с цели включва популярни устройства на D-Link, използвани от частни лица и организации, като DIR-645, DIR-806, GO-RT-AC750 и DIR-845L.
За първоначален достъп двата зловредни софтуера използват известни експлойти за CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 и CVE-2024-33112.
След като устройството е компрометирано, нападателите използват слабости в интерфейса за управление на D-Link (HNAP) и изпълняват злонамерени команди чрез действието GetDeviceSettings.
Ботовете могат да крадат данни и да изпълняват шел скриптове. Изглежда, че нападателите компрометират устройствата с цел разпределен отказ на услуга (DDoS).
Ficora има широко географско разпространение с известен фокус върху Япония и Съединените щати. Изглежда, че Capsaicin е насочен предимно към устройства в страните от Източна Азия и е увеличил активността си само за два дни, считано от 21 октомври.
Ficora е по-нов вариант на ботнета Mirai, адаптиран да използва конкретно недостатъци в устройствата D-Link.
Според телеметричните данни на Fortinet ботнетът показва произволно насочване, като през октомври и ноември има два забележими скока в активността му.
След като получава първоначален достъп до устройствата на D-Link, Ficora използва скрипт на обвивката с име „multi“, за да изтегли и изпълни полезния си товар чрез множество методи като wget, curl, ftpget и tftp.
Зловредният софтуер включва вграден компонент за груба сила с твърдо кодирани идентификационни данни, за да заразява допълнителни устройства, базирани на Linux, като същевременно поддържа множество хардуерни архитектури.
Що се отнася до възможностите му за DDoS, той поддържа UDP flooding, TCP flooding и DNS amplification, за да увеличи мощта на атаките си.
Местоположение на устройствата, заразени с Ficora
Източник: Fortinet
Capsaicin е вариант на ботнета Kaiten и се смята, че е зловреден софтуер, разработен от групата Keksec, известна с „EnemyBot“ и други семейства зловреден софтуер, насочени към устройства с Linux.
Fortinet го наблюдава само при серия от атаки между 21 и 22 октомври, насочени предимно към държави от Източна Азия.
Заразяването става чрез скрипт за изтегляне („bins.sh“), който извлича двоични файлове с префикс „yakuza“ за различни архитектури, включително arm, mips, sparc и x86.
Зловредният софтуер активно търси други ботнет товари, които са активни на същия хост, и ги деактивира.
Освен възможностите си за DDoS, които отразяват тези на Ficora, Capsaicin може също да събира информация за хоста и да я екфилтрира към сървъра за командване и контрол (C2) за проследяване.
Един от начините за предотвратяване на заразяването със зловреден софтуер на ботнети на маршрутизатори и IoT устройства е да се гарантира, че те работят с най-новата версия на фърмуера, която трябва да отстранява известните уязвимости.
Ако устройството е излязло от употреба и вече не получава актуализации за сигурност, то трябва да бъде заменено с нов модел.
Като общ съвет трябва да замените данните за администратор по подразбиране с уникални и силни пароли и да деактивирате интерфейсите за отдалечен достъп, ако не са необходими.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
