近期，兩個名為“Ficora”和“Capsaicin”的僵尸網(wǎng)絡(luò)在針對已停產(chǎn)或運(yùn)行過時固件版本的D-Link路由器的攻擊活動中表現(xiàn)活躍。受影響的設(shè)備包括個人和組織常用的D-Link型號，如DIR-645、DIR-806、GO-RT-AC750和DIR-845L。

這兩個惡意軟件利用已知的漏洞進(jìn)行初始入侵，其中包括CVE-2015-2051、CVE-2019-10891、CVE-2022-37056和CVE-2024-33112。一旦設(shè)備被攻破，攻擊者會利用D-Link管理接口（HNAP）中的弱點(diǎn)，通過GetDeviceSettings操作執(zhí)行惡意命令。

這些僵尸網(wǎng)絡(luò)具備竊取數(shù)據(jù)和執(zhí)行Shell腳本的能力。攻擊者似乎利用這些設(shè)備進(jìn)行分布式拒絕服務(wù)（DDoS）攻擊。

Ficora是Mirai僵尸網(wǎng)絡(luò)的一個新變種，專門針對D-Link設(shè)備的漏洞。根據(jù)Fortinet的遙測數(shù)據(jù)，該僵尸網(wǎng)絡(luò)在10月和11月期間活動顯著增加，表現(xiàn)出隨機(jī)攻擊的特點(diǎn)。

感染過程

Ficora在獲得D-Link設(shè)備的初始訪問權(quán)限后，會使用名為“multi”的Shell腳本，通過多種方法（如wget、curl、ftpget和tftp）下載并執(zhí)行其有效載荷。該惡意軟件包含一個內(nèi)置的暴力破解組件，使用硬編碼的憑據(jù)感染其他基于Linux的設(shè)備，并支持多種硬件架構(gòu)。

Ficora支持UDP洪水攻擊、TCP洪水攻擊和DNS放大攻擊，以最大化其攻擊威力。

Capsaicin是Kaiten僵尸網(wǎng)絡(luò)的一個變種，被認(rèn)為是Keksec組織開發(fā)的惡意軟件，該組織以“EnemyBot”和其他針對Linux設(shè)備的惡意軟件家族而聞名。Fortinet僅在10月21日至22日期間觀察到其爆發(fā)性攻擊，主要針對東亞國家。

Capsaicin的感染通過一個下載腳本（“bins.sh”）進(jìn)行，該腳本獲取不同架構(gòu)的二進(jìn)制文件（前綴為“yakuza”），包括arm、mips、sparc和x86。該惡意軟件會主動查找并禁用同一主機(jī)上其他活躍的僵尸網(wǎng)絡(luò)有效載荷。

除了與Ficora相似的DDoS能力外，Capsaicin還可以收集主機(jī)信息并將其外泄到命令與控制（C2）服務(wù)器以進(jìn)行跟蹤。

防止路由器和物聯(lián)網(wǎng)設(shè)備感染僵尸網(wǎng)絡(luò)惡意軟件的一種方法是確保它們運(yùn)行最新的固件版本，以修復(fù)已知漏洞。如果設(shè)備已停產(chǎn)且不再接收安全更新，則應(yīng)更換為新設(shè)備。

參考來源：https://www.bleepingcomputer.com/news/security/malware-botnets-exploit-outdated-d-link-routers-in-recent-attacks/