Два ботнета, проследени като „Ficora“ и „Capsaicin“, са регистрирали повишена активност при атакуването на рутери D-Link, които са с изтекъл срок на експлоатация или са с остарели версии на фърмуера.
Списъкът с цели включва популярни устройства на D-Link, използвани от частни лица и организации, като DIR-645, DIR-806, GO-RT-AC750 и DIR-845L.
За първоначален достъп двата зловредни софтуера използват известни експлойти за CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 и CVE-2024-33112.
След като устройството е компрометирано, нападателите използват слабости в интерфейса за управление на D-Link (HNAP) и изпълняват злонамерени команди чрез действието GetDeviceSettings.
Ботовете могат да крадат данни и да изпълняват шел скриптове. Изглежда, че нападателите компрометират устройствата с цел разпределен отказ на услуга (DDoS).
Ficora има широко географско разпространение с известен фокус върху Япония и Съединените щати. Изглежда, че Capsaicin е насочен предимно към устройства в страните от Източна Азия и е увеличил активността си само за два дни, считано от 21 октомври.
Ботнет Ficora
Ficora е по-нов вариант на ботнета Mirai, адаптиран да използва конкретно недостатъци в устройствата D-Link.
Според телеметричните данни на Fortinet ботнетът показва произволно насочване, като през октомври и ноември има два забележими скока в активността му.
След като получава първоначален достъп до устройствата на D-Link, Ficora използва скрипт на обвивката с име „multi“, за да изтегли и изпълни полезния си товар чрез множество методи като wget, curl, ftpget и tftp.
Зловредният софтуер включва вграден компонент за груба сила с твърдо кодирани идентификационни данни, за да заразява допълнителни устройства, базирани на Linux, като същевременно поддържа множество хардуерни архитектури.
Що се отнася до възможностите му за DDoS, той поддържа UDP flooding, TCP flooding и DNS amplification, за да увеличи мощта на атаките си.
Местоположение на устройствата, заразени с Ficora
Източник: Fortinet
Ботнет Capsaicin
Capsaicin е вариант на ботнета Kaiten и се смята, че е зловреден софтуер, разработен от групата Keksec, известна с „EnemyBot“ и други семейства зловреден софтуер, насочени към устройства с Linux.
Fortinet го наблюдава само при серия от атаки между 21 и 22 октомври, насочени предимно към държави от Източна Азия.
Заразяването става чрез скрипт за изтегляне („bins.sh“), който извлича двоични файлове с префикс „yakuza“ за различни архитектури, включително arm, mips, sparc и x86.
Зловредният софтуер активно търси други ботнет товари, които са активни на същия хост, и ги деактивира.
Освен възможностите си за DDoS, които отразяват тези на Ficora, Capsaicin може също да събира информация за хоста и да я екфилтрира към сървъра за командване и контрол (C2) за проследяване.
Защита срещу ботнети
Един от начините за предотвратяване на заразяването със зловреден софтуер на ботнети на маршрутизатори и IoT устройства е да се гарантира, че те работят с най-новата версия на фърмуера, която трябва да отстранява известните уязвимости.
Ако устройството е излязло от употреба и вече не получава актуализации за сигурност, то трябва да бъде заменено с нов модел.
Като общ съвет трябва да замените данните за администратор по подразбиране с уникални и силни пароли и да деактивирате интерфейсите за отдалечен достъп, ако не са необходими.
