Хакеры начали использовать устаревшие маршрутизаторы D-Link в новых атаках
Изображение: Stephen Phillips — Hostreviews.co.uk (unsplash)
Принадлежащие хакерам два ботнета, отслеживаемые как Ficora и Capsaicin, начали активно применяться киберпреступниками для атак на старые модели маршрутизаторов D-Link, срок службы которых истёк или на которых установлены устаревшие версии прошивки. Атаки проводятся на устройства D-Link, используемые частными лицами и организациями: DIR-645, DIR-806, GO-RT-AC750 и DIR-845L.
Для первоначального доступа хакеры эксплуатируют известные эксплойты для уязвимостей CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 и CVE-2024-33112. После взлома устройства хакеры используют уязвимости в интерфейсе управления D-Link (HNAP) и выполняют вредоносные команды с помощью действия GetDeviceSettings.
Ботнеты Ficora и Capsaicin могут красть данные и выполнять скрипты оболочки. Хакеры, как отмечают эксперты по кибербезопасности, компрометируют устройства для дальнейшего проведения DDoS-атак.
Ботнет Ficora имеет широкое географическое распространение с некоторым фокусом на Японию и США. Ficora — это новый вариант ботнета Mirai, специально адаптированный для эксплуатации уязвимостей устройств D-Link. По данным телеметрии профильной ИБ-компании Fortinet, ботнет демонстрирует случайную направленность атак, при этом два заметных всплеска активности наблюдались в октябре и ноябре. Получив начальный доступ к устройствам D-Link, Ficora использует скрипт оболочки с именем «multi» для загрузки и выполнения своей полезной нагрузки с помощью нескольких методов, таких как wget, curl, ftpget и tftp.
Вредоносная программа имеет встроенный компонент подбора паролей с жёстко запрограммированными учётными данными для заражения дополнительных устройств на базе Linux, при этом она поддерживает несколько аппаратных архитектур. Что касается возможностей DDoS, поддерживаются UDP-флуд, TCP-флуд и DNS-амплификация для максимального увеличения мощности своих атак.
Capsaicin — это вариант ботнета Kaiten, который, как полагают, является вредоносным ПО, разработанным группой Keksec, известной по EnemyBot и другим семействам вредоносных программ, нацеленных на устройства Linux. Компания Fortinet зафиксировала серию атак, нацеленных в основном на страны Восточной Азии.
