Istraživači cyber sigurnosti upozoravaju na porast malicioznih aktivnosti koja uključuje spajanje ranjivih D-Link rutera u dva različita botneta, Mirai varijantu nazvanu FICORA i Kaiten (aka Tsunami) varijantu pod nazivom CAPSAICIN.
“Ovi botnetovi se često šire kroz dokumentovane D-Link ranjivosti koje omogućavaju udaljenim hakerima da izvrše maliciozne komande putem GetDeviceSettings akcije na HNAP (Home Network Administration Protocol) sučelju”, rekao je istraživač Fortinet FortiGuard Labs Vincent Li u analizi od četvrtka.
“Ova slabost HNAP-a je prvi put otkrivena prije skoro deset godina, s brojnim uređajima pogođenim različitim CVE brojevima, uključujući CVE-2015-2051 , CVE-2019-10891 , CVE-2022-37056 i CVE-2024-33112 .”
Prema telemetrijskim podacima kompanije za cyber sigurnost, napadi koji uključuju FICORA bili su ciljani na različite zemlje širom svijeta, dok su oni koji se odnose na CAPSAICIN prvenstveno izdvajali istočnoazijske teritorije poput Japana i Tajvana. Takođe se kaže da je aktivnost CAPSAICIN bila “intenzivno” aktivna samo između 21. i 22. oktobra 2024. godine.
FICORA botnet napadi dovode do postavljanja skripte ljuske za preuzimanje (“multi”) sa udaljenog servera (“103.149.87[.]69”), koji zatim nastavlja sa preuzimanjem glavnog korisnog opterećenja za različite Linux arhitekture odvojeno koristeći wget, ftpget , curl i tftp komande.
U okviru botnet malicioznog softvera prisutna je funkcija napada grubom silom koja sadrži tvrdo kodiranu listu korisničkih imena i lozinki. Mirai derivat takođe sadrži karakteristike za izvođenje distribuiranih napada uskraćivanja usluge (DDoS) koristeći UDP, TCP i DNS protokole.
Skripta za preuzimanje (“bins.sh”) za CAPSAICIN koristi drugu IP adresu (“87.10.220[.]221”) i prati isti pristup za preuzimanje botneta za različite Linux arhitekture kako bi se osigurala maksimalna kompatibilnost.
“Maliciozni softver ubija poznate procese botnet-a kako bi osigurao da je jedini botnet koji se izvršava na hostu žrtve”, rekao je Li. “‘CAPSAICIN’ uspostavlja utičnicu za vezu sa svojim C2 serverom, ‘192.110.247[.]46,’ i šalje informacije o OS žrtve i nadimak koji je dao malver nazad na C2 server.”
CAPSAICIN zatim čeka da se izvrše dalje komande na kompromitovanim uređajima, uključujući “PRIVMSG”, naredbu koja se može koristiti za izvođenje različitih zlonamjernih operacija kao što su sljedeće –
- GETIP – Dobijte IP adresu sa interfejsa
- CLEARHISTORY – Uklonite historiju komandi
- FASTFLUX – Pokrenite proxy na portu na drugom IP-u na interfejsu
- RNDNICK – Nasumično podesi nadimak domaćina žrtve
- NICK – Promijenite nadimak hosta žrtve
- SERVER – Promjena servera za komandu i kontrolu
- ENABLE – Omogućite bot
- KILL – Ubijte sesiju
- GET – Preuzmite datoteku
- VERSION – Zahtijeva verziju hosta žrtve
- IRC – Proslijedi poruku na server
- SH – Izvrši naredbe ljuske
- ISH – Interakcija sa ljuskom domaćina žrtve
- SHD – Izvrši naredbu ljuske i zanemari signale
- INSTALACIJA – Preuzmite i instalirajte binarnu datoteku u “/var/bin”
- BASH – Izvrši naredbe koristeći bash
- BINUPDATE – Ažurirajte binarni fajl na “/var/bin” putem geta
- LOCKUP – Ubijte Telnet backdoor i umjesto toga pokrenite maliciozni softver
- POMOĆ – Prikaži informacije pomoći o malicioznom softveru
- STD – Flooding napad sa nasumično kodiranim nizovima za broj porta i cilj koji je odredio napadač
- NEPOZNATO – UDP flooding napad sa nasumičnim znakovima za broj porta i cilj koji je odredio napadač
- HTTP – HTTP flooding napad.
- HOLD – Napad poplave TCP veze.
- JUNK – TCP flooding napad.
- BLACKNURSE – BlackNurse napad , koji je baziran na ICMP napadu flooding paketa
- DNS – DNS amplification flooding napad
- KILLALL – Zaustavite sve DDoS napade
- KILLMYEYEPEEUSINGHOIC – Ukinite originalni maliciozni softver
„Iako su slabosti iskorišćene u ovom napadu otkrivene i zakrpljene pre skoro deceniju, ovi napadi su ostali kontinuirano aktivni širom sveta“, rekao je Li. “Ključno je za svako preduzeće da redovno ažurira kernel svojih uređaja i održava sveobuhvatan nadzor.”
Izvor:The Hacker News
