- 14,584
- 22
- 8 Ноя 2022
Десятилетние уязвимости помогают ботнетам захватывать современные устройства.
Исследователи в области кибербезопасности выявили резкий рост активности ботнетов, которые используют уязвимости маршрутизаторов D-Link. Основными угрозами стали модификации Mirai под названием FICORA и Kaiten (также известный как Tsunami), получивший имя CAPSAICIN.
Как отмечают эксперты Для просмотра ссылки Войдиили Зарегистрируйся , распространение этих ботнетов осуществляется через известные уязвимости D-Link. В частности, через функцию GetDeviceSettings на интерфейсе HNAP (Home Network Administration Protocol), позволяющую злоумышленникам удалённо выполнять вредоносные команды. Эти уязвимости были впервые обнаружены почти десять лет назад и задокументированы в таких CVE, как Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся .
Ботнет FICORA, по данным телеметрии Fortinet, охватил широкий круг стран, тогда как CAPSAICIN сконцентрировался на восточноазиатских регионах, включая Японию и Тайвань. Активность CAPSAICIN наблюдалась в основном 21–22 октября 2024 года.
<h3>Механизмы работы ботнетов</h3> FICORA заражает устройства через скрипт-загрузчик «multi», скачивающий основной вредоносный файл с удалённого сервера (103.149.87[.]69). Вредоносное ПО поддерживает работу на различных архитектурах Linux, используя команды wget, ftpget, curl и tftp. Ботнет включает функцию брутфорса, направленную на подбор паролей, и средства для проведения DDoS-атак через протоколы UDP, TCP и DNS.
CAPSAICIN, в свою очередь, использует скрипт «bins.sh» с IP-адреса 87.10.220[.]221. Его подход схож: загрузка ботнета для разных архитектур Linux для максимального охвата. Этот ботнет блокирует процессы других вредоносных программ, чтобы оставаться единственным активным ПО на заражённом устройстве.
После заражения CAPSAICIN подключается к серверу управления (192.110.247[.]46), отправляя информацию о системе жертвы и присвоенное ей имя. Затем ботнет ожидает команды, включая удалённое выполнение команд, изменение серверов управления и проведение DDoS-атак.
<h3>Основные команды CAPSAICIN</h3>
<h3>Рекомендации по защите</h3> Несмотря на то, что уязвимости, эксплуатируемые ботнетами, были обнаружены и закрыты почти десять лет назад, атаки продолжают угрожать пользователям по всему миру. Эксперты настоятельно рекомендуют регулярно обновлять прошивку устройств и внедрять постоянный мониторинг сетевой активности.
Исследователи в области кибербезопасности выявили резкий рост активности ботнетов, которые используют уязвимости маршрутизаторов D-Link. Основными угрозами стали модификации Mirai под названием FICORA и Kaiten (также известный как Tsunami), получивший имя CAPSAICIN.
Как отмечают эксперты Для просмотра ссылки Войди
Ботнет FICORA, по данным телеметрии Fortinet, охватил широкий круг стран, тогда как CAPSAICIN сконцентрировался на восточноазиатских регионах, включая Японию и Тайвань. Активность CAPSAICIN наблюдалась в основном 21–22 октября 2024 года.
<h3>Механизмы работы ботнетов</h3> FICORA заражает устройства через скрипт-загрузчик «multi», скачивающий основной вредоносный файл с удалённого сервера (103.149.87[.]69). Вредоносное ПО поддерживает работу на различных архитектурах Linux, используя команды wget, ftpget, curl и tftp. Ботнет включает функцию брутфорса, направленную на подбор паролей, и средства для проведения DDoS-атак через протоколы UDP, TCP и DNS.
CAPSAICIN, в свою очередь, использует скрипт «bins.sh» с IP-адреса 87.10.220[.]221. Его подход схож: загрузка ботнета для разных архитектур Linux для максимального охвата. Этот ботнет блокирует процессы других вредоносных программ, чтобы оставаться единственным активным ПО на заражённом устройстве.
После заражения CAPSAICIN подключается к серверу управления (192.110.247[.]46), отправляя информацию о системе жертвы и присвоенное ей имя. Затем ботнет ожидает команды, включая удалённое выполнение команд, изменение серверов управления и проведение DDoS-атак.
<h3>Основные команды CAPSAICIN</h3>
- GETIP: получение IP-адреса устройства;
- CLEARHISTORY: очистка истории команд;
- INSTALL: загрузка и установка файла;
- DNS: усиленная атака через DNS;
- HTTP: HTTP-флуд;
- KILL: завершение сессии.
<h3>Рекомендации по защите</h3> Несмотря на то, что уязвимости, эксплуатируемые ботнетами, были обнаружены и закрыты почти десять лет назад, атаки продолжают угрожать пользователям по всему миру. Эксперты настоятельно рекомендуют регулярно обновлять прошивку устройств и внедрять постоянный мониторинг сетевой активности.
- Источник новости
- www.securitylab.ru
