Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
28.12.2024

FICORA и CAPSAICIN: ботнеты конкурируют за контроль над устройствами D-Link

Исследователи в области кибербезопасности выявили резкий рост активности ботнетов, которые используют уязвимости маршрутизаторов D-Link. Основными угрозами стали модификация Mirai , известная как FICORA, и вариант Kaiten (также называемый Tsunami), получивший название CAPSAICIN.

Как отмечают эксперты Fortinet FortiGuard Labs , распространение этих ботнетов осуществляется через известные уязвимости D-Link. В частности, через функцию GetDeviceSettings на интерфейсе HNAP (Home Network Administration Protocol), позволяющую злоумышленникам удалённо выполнять вредоносные команды. Эти уязвимости были впервые обнаружены почти десять лет назад и задокументированы в таких CVE, как CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 и CVE-2024-33112.

Ботнет FICORA, по данным телеметрии Fortinet, охватил широкий круг стран, тогда как CAPSAICIN сконцентрировался на восточноазиатских регионах, включая Японию и Тайвань. Активность CAPSAICIN наблюдалась в основном 21–22 октября 2024 года.

Механизмы работы ботнетов

FICORA заражает устройства через скрипт-загрузчик «multi», скачивающий основной вредоносный файл с удалённого сервера (103.149.87[.]69). Вредоносное ПО поддерживает работу на различных архитектурах Linux, используя команды wget, ftpget, curl и tftp. Ботнет включает функцию брутфорса, направленную на подбор паролей, и средства для проведения DDoS-атак через протоколы UDP, TCP и DNS.

CAPSAICIN, в свою очередь, использует скрипт «bins.sh» с IP-адреса 87.10.220[.]221. Его подход схож: загрузка ботнета для разных архитектур Linux для максимального охвата. Этот ботнет блокирует процессы других вредоносных программ, чтобы оставаться единственным активным ПО на заражённом устройстве.

После заражения CAPSAICIN подключается к серверу управления (192.110.247[.]46), отправляя информацию о системе жертвы и присвоенное ей имя. Затем ботнет ожидает команды, включая удалённое выполнение команд, изменение серверов управления и проведение DDoS-атак.

Основные команды CAPSAICIN

  • GETIP: получение IP-адреса устройства;
  • CLEARHISTORY: очистка истории команд;
  • INSTALL: загрузка и установка файла;
  • DNS: усиленная атака через DNS;
  • HTTP: HTTP-флуд;
  • KILL: завершение сессии.

CAPSAICIN также может запускать атаки типа BlackNurse и проводить TCP-флудинг.

Рекомендации по защите

Несмотря на то, что уязвимости, эксплуатируемые ботнетами, были обнаружены и закрыты почти десять лет назад, атаки продолжают угрожать пользователям по всему миру. Эксперты настоятельно рекомендуют регулярно обновлять прошивку устройств и внедрять постоянный мониторинг сетевой активности.