FortiGuard Labs的研究人员发现,2024年末,Mirai变种“FICORA”和Kaiten变种“CAPSAICIN”这两个僵尸网络的活动激增。这两个僵尸网络都针对D-Link设备的漏洞,特别是通过HNAP接口进行远程命令执行。它们利用的漏洞包括CVE-2015-2051、CVE-2019-10891、CVE-2022-37056和CVE-2024-33112。
Fortinet发布的报告中写道:“根据我们的IPS遥测数据,攻击者经常重复使用旧的攻击方法,这导致‘FICORA’和‘CAPSAICIN’僵尸网络持续传播到受害主机和受感染目标。本文分析了它们的感染流量,并提供了对这些僵尸网络的见解。”
研究人员注意到,最新的“FICORA”攻击活动针对全球许多国家,表明它并非针对性攻击。“CAPSAICIN”僵尸网络仅在2024年10月21日至22日高度活跃,主要针对东亚国家。
“FICORA”僵尸网络下载并执行名为“multi”的shell脚本,执行后会将其删除。该脚本使用“wget”、“ftpget”、“curl”和“tftp”等多种方法下载恶意软件。它首先终止与“FICORA”具有相同文件扩展名的进程,然后下载并执行针对多种Linux架构的恶意软件。恶意软件的配置,包括其C2服务器域名和唯一字符串,使用ChaCha20算法进行加密。“FICORA”僵尸网络使用的扫描程序包含用于其暴力破解攻击功能的硬编码用户名和密码。“FICORA”恶意软件是Mirai恶意软件的一个变种,它包含使用“UDP”、“TCP”和“DNS”等多种协议的DDoS攻击功能。“CAPSAICIN”僵尸网络使用一个下载器脚本(“bins.sh”)和不同的IP地址(“87.10.220.221”)来获取针对各种Linux架构的僵尸网络程序。恶意软件会终止已知的僵尸网络进程,以确保它成为唯一运行的进程。然后它连接到其C2服务器(“192.110.247[.]46”),将受害者的操作系统信息和一个独特的昵称发送回服务器。“CAPSAICIN”恶意软件似乎是Keksec组织僵尸网络的一个变种,根据其中发现的硬编码信息,它可能是基于该组织恶意软件17.0.0版本开发的。
报告总结道:“尽管此次攻击中利用的弱点已曝光并修复近十年,但这些攻击仍在全球持续活跃。FortiGuard Labs发现‘FICORA’和‘CAPSAICIN’正是通过这个弱点传播的。”“因此,每个企业都必须定期更新其设备的内核并保持全面的监控。这些步骤将有助于降低通过此漏洞部署恶意软件的可能性。”
原文始发于微信公众号(黑猫安全):专家警告,与FICORA和Kaiten僵尸网络相关的活动可能会激增
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3564092.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论