Два ботнета, отслеживаемые как Ficora и Capsaicin, нарастили активность в атаках на маршрутизаторы D-Link, срок службы которых истёк и на которые установлены устаревшие версии прошивки. В список целей входят популярные роутеры D-Link, такие как DIR-645, DIR-806, GO-RT-AC750 и DIR-845L.
Для первоначального доступа два вида вредоносного программного обеспечения используют известные эксплойты для CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 и CVE-2024-33112.
После взлома устройства злоумышленники используют уязвимости в интерфейсе управления D-Link и выполняют вредоносные команды с помощью действия GetDeviceSettings.
Ботнеты способны красть данные и выполнять скрипты оболочки. Злоумышленники, вероятно, компрометируют устройства для DDoS-атак.
Ficora имеет широкое географическое распространение с некоторым фокусом на Японию и США. Capsaicin нацелен в основном на устройства в странах Восточной Азии. Ficora — это новый вариант ботнета Mirai, адаптированного для эксплуатации уязвимостей устройств D-Link. Ботнет имеет случайную направленность атак, два заметных всплеска активности наблюдали в октябре и ноябре.
Получив доступ к роутерам D-Link, Ficora использует скрипт оболочки с именем multi для загрузки и выполнения полезной нагрузки с помощью нескольких методов, таких как wget, curl, ftpget и tftp.
Вредоносная программа включает в себя встроенный компонент подбора паролей с жёстко запрограммированными учётными данными для заражения дополнительных устройств на базе Linux, при этом она поддерживает несколько аппаратных архитектур. Ботнет поддерживает несколько видов DDoS-атак, включая UDP-флуд, TCP-флуд и DNS-амплификацию.
Capsaicin — это вариант ботнета Kaiten, который представляет собой вредоносное ПО, разработанное группировкой Keksec. Последняя известна по EnemyBot и другим семействам вредоносного софта, нацеленного на Linux-устройства.
Заражение происходит через скрипт bins.sh, который скачивает двоичные файлы с префиксом yakuza для различных архитектур, в том числе для arm, mips, sparc и x86. Ботнет блокирует процессы других вредоносных программ, чтобы оставаться единственным активным софтом на заражённом устройстве. Capsaicin также собирает информацию о хосте и передаёт её на сервер управления и контроля для отслеживания.
Одним из способов предотвращения заражения роутеров и других устройств BleepingComputer называет установку последней версии прошивки, которая должна устранять известные уязвимости. Если срок службы устройства истёк, и оно больше не получает обновления безопасности, то следует заменить такое оборудование на новую модель.
В начале прошлого месяца D-Link сообщила, что не будет исправлять критическую уязвимость, затрагивающую свыше 60 тыс. сетевых устройств хранения данных. Она позволяет внедрять команды с помощью общедоступного эксплойта.
Позже тайваньская компания призвала прекратить использование роутеров DSR-150, DSR-150N, DSR-250, DSR-250N, DSR-500N и DSR-1000N из-за критической уязвимости, которую производитель не собирается устранять, поскольку срок поддержки устройств закончился.
Источник новости: habr.com
