Вредоносные ботнеты активно используют устаревшие маршрутизаторы D-Link

Два ботнета, отслеживаемые как Ficora и Capsaicin, нарастили активность в атаках на маршрутизаторы D-Link, срок службы которых истёк и на которые установлены устаревшие версии прошивки. В список целей входят популярные роутеры D-Link, такие как DIR-645, DIR-806, GO-RT-AC750 и DIR-845L. 

Для первоначального доступа два вида вредоносного программного обеспечения используют известные эксплойты для CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 и CVE-2024-33112.

После взлома устройства злоумышленники используют уязвимости в интерфейсе управления D-Link и выполняют вредоносные команды с помощью действия GetDeviceSettings.

Ботнеты способны красть данные и выполнять скрипты оболочки. Злоумышленники, вероятно, компрометируют устройства для DDoS-атак.

Ficora имеет широкое географическое распространение с некоторым фокусом на Японию и США. Capsaicin нацелен в основном на устройства в странах Восточной Азии. Ficora — это новый вариант ботнета Mirai, адаптированного для эксплуатации уязвимостей устройств D-Link. Ботнет имеет случайную направленность атак, два заметных всплеска активности наблюдали в октябре и ноябре.

Получив доступ к роутерам D-Link, Ficora использует скрипт оболочки с именем multi для загрузки и выполнения полезной нагрузки с помощью нескольких методов, таких как wget, curl, ftpget и tftp.

Вредоносная программа включает в себя встроенный компонент подбора паролей с жёстко запрограммированными учётными данными для заражения дополнительных устройств на базе Linux, при этом она поддерживает несколько аппаратных архитектур. Ботнет поддерживает несколько видов DDoS-атак, включая UDP-флуд, TCP-флуд и DNS-амплификацию.

Capsaicin — это вариант ботнета Kaiten, который представляет собой вредоносное ПО, разработанное группировкой