Dva botnety, sledované pod názvy „Ficora“ a „Capsaicin“, zaznamenaly zvýšenou aktivitu při cílení na D-Link routery, které dosáhly konce své životnosti nebo používají zastaralé verze firmwaru. Seznam cílů zahrnuje oblíbená zařízení D-Link používaná jednotlivci i organizacemi, jako jsou DIR-645, DIR-806, GO-RT-AC750 a DIR-845L. Pro počáteční přístup oba malware využívají známé zranitelnosti CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 a CVE-2024-33112.
Jakmile je zařízení kompromitováno, útočníci využívají slabiny v rozhraní pro správu D-Link (HNAP) a provádějí příkazy prostřednictvím akce GetDeviceSettings. Botnety mohou krást data a spouštět shell skripty.
Ficora je novější varianta botnetu Mirai, přizpůsobená k využívání chyb v zařízeních D-Link. Podle telemetrických dat společnosti Fortinet botnet vykazuje náhodné cílení, přičemž během října a listopadu došlo ke dvěma významným nárůstům jeho aktivity.
Po získání počátečního přístupu na zařízení D-Link Ficora používá shell skript nazvaný „multi“ k stahování a spouštění svého škodlivého kódu prostřednictvím několika metod, jako jsou wget, curl, ftpget a tftp.
Malware obsahuje vestavěnou komponentu pro brute force útoky s pevně zakódovanými přihlašovacími údaji, aby infikoval další zařízení založená na Linuxu, a podporuje více hardwarových architektur. Pokud jde o jeho schopnosti DDoS, podporuje UDP flooding, TCP flooding a DNS amplifikaci, aby maximalizoval sílu svých útoků.
Capsaicin je varianta botnetu Kaiten a předpokládá se, že jde o malware vyvinutý skupinou Keksec, známou pro „EnemyBot“ a další rodiny malwaru zaměřené na zařízení Linux.
Společnost Fortinet jej pozorovala pouze během krátkého období útoků mezi 21. a 22. říjnem 2024, přičemž cílem byly především země ve východní Asii.
Zdroj: BleepingComputer
Zdroj: IT SECURITY NETWORK NEWS
