28/12/24
Исследователи в области кибербезопасности выявили резкий рост активности ботнетов, которые используют уязвимости маршрутизаторов D-Link. Основными угрозами стали модификация Mirai, известная как FICORA, и вариант Kaiten (также называемый Tsunami), получивший название CAPSAICIN.
Как отмечают эксперты Fortinet FortiGuard Labs, распространение этих ботнетов осуществляется через известные уязвимости D-Link. В частности, через функцию GetDeviceSettings на интерфейсе HNAP (Home Network Administration Protocol), позволяющую злоумышленникам удалённо выполнять вредоносные команды. Эти уязвимости были впервые обнаружены почти десять лет назад и задокументированы в таких CVE, как CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 и CVE-2024-33112, пишет Securitylab.
Ботнет FICORA, по данным телеметрии Fortinet, охватил широкий круг стран, тогда как CAPSAICIN сконцентрировался на восточноазиатских регионах, включая Японию и Тайвань. Активность CAPSAICIN наблюдалась в основном 21–22 октября 2024 года.
Механизмы работы ботнетов
FICORA заражает устройства через скрипт-загрузчик «multi», скачивающий основной вредоносный файл с удалённого сервера (103.149.87[.]69). Вредоносное ПО поддерживает работу на различных архитектурах Linux, используя команды wget, ftpget, curl и tftp. Ботнет включает функцию брутфорса, направленную на подбор паролей, и средства для проведения DDoS-атак через протоколы UDP, TCP и DNS.
CAPSAICIN, в свою очередь, использует скрипт «bins.sh» с IP-адреса 87.10.220[.]221. Его подход схож: загрузка ботнета для разных архитектур Linux для максимального охвата. Этот ботнет блокирует процессы других вредоносных программ, чтобы оставаться единственным активным ПО на заражённом устройстве.
После заражения CAPSAICIN подключается к серверу управления (192.110.247[.]46), отправляя информацию о системе жертвы и присвоенное ей имя. Затем ботнет ожидает команды, включая удалённое выполнение команд, изменение серверов управления и проведение DDoS-атак.
Основные команды CAPSAICIN
- GETIP: получение IP-адреса устройства;
- CLEARHISTORY: очистка истории команд;
- INSTALL: загрузка и установка файла;
- DNS: усиленная атака через DNS;
- HTTP: HTTP-флуд;
- KILL: завершение сессии.
CAPSAICIN также может запускать атаки типа BlackNurse и проводить TCP-флудинг.
