僵尸网络在最近的攻击中利用过时的 D-Link 路由器

研究人员发现两个被称为“Ficora”和“Capsaicin”的僵尸网络活动，攻击针对寿命终止或运行过时固件版本的 D-Link 路由器。

目标列表包括个人和组织使用的流行 D-Link 设备，例如 DIR-645、DIR-806、GO-RT-AC750 和 DIR-845L。

对于初始访问，这两款恶意软件使用了已知的 CVE-2015-2051、CVE-2019-10891、CVE-2022-37056 和 CVE-2024-33112 漏洞。

一旦设备受到攻击，攻击者就会利用 D-Link 管理界面 (HNAP) 中的弱点，并通过 GetDeviceSettings 操作执行恶意命令。

僵尸网络可以窃取数据并执行 shell 脚本。攻击者可以破坏这些设备以进行分布式拒绝服务 (DDoS) 攻击。

Ficora 的地理分布非常广泛，主要集中在日本和美国。Capsaicin主要针对东亚国家的设备，从 10 月 21 日开始。

Ficora 僵尸网络

Ficora 是 Mirai 僵尸网络的较新变种，专门用于利用 D-Link 设备中的漏洞。

根据Fortinet 的遥测数据，该僵尸网络表现出随机目标，其活动在 10 月和 11 月出现两次明显激增。

在获得 D-Link 设备的初始访问权限后，Ficora 使用名为“multi”的 shell 脚本通过wget、curl、ftpget和tftp等多种方法下载并执行其有效负载。

该恶意软件包含一个内置的暴力破解组件，带有硬编码凭证，可感染其他基于 Linux 的设备，同时支持多种硬件架构。

其 DDoS 功能支持 UDP 洪水、TCP洪水和 DNS 放大，以最大限度地发挥其攻击力。

Capsaicin 僵尸网络

Capsaicin 是 Kaiten 僵尸网络的一个变种，据信是由 Keksec 组织开发的恶意软件，该组织以“ EnemyBot ”和其他针对 Linux 设备的恶意软件家族而闻名。

Fortinet 仅在 10 月 21 日至 22 日之间的一轮攻击中观察到了这种攻击，主要针对东亚国家。

感染通过下载脚本（“bins.sh”）进行，该脚本获取不同架构（包括 arm、mips、sparc 和 x86）带有前缀“yakuza”的二进制文件。

该恶意软件会主动寻找在同一主机上活动的其他僵尸网络负载，并将其禁用。

Capsaicin禁用其他僵尸网络恶意软件，资料来源：Fortinet

除了与 Ficora 相似的 DDoS 功能外，Capsaicin 还可以收集主机信息并将其泄露到命令和控制 (C2) 服务器。

Capsaicin DDoS 命令，来源：Fortinet

防御僵尸网络

防止路由器和物联网设备感染僵尸网络恶意软件的一种方法是确保它们运行的是最新的固件版本，这应该可以解决已知的漏洞。

如果设备已达到使用寿命且不再接收安全更新，则应将其更换为新型号。

新闻链接：

https://www.bleepingcomputer.com/news/security/malware-botnets-exploit-outdated-d-link-routers-in-recent-attacks/

讲述普通人能听懂的安全故事