Два активних ботнети Ficora і Capsaicin збільшили частоту атак на застарілі маршрутизатори D-Link, для яких більше не виходять свіжі прошивки. Серед уразливих моделей значаться такі популярні пристрої, як DIR-645, DIR-806, GO-RT-AC750 і DIR-845L.

Що варто знати

Для отримання первинного доступу обидва шкідливих ПЗ використовують уразливості CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 і CVE-2024-33112. Після злому зловмисники використовують уразливості в інтерфейсі управління D-Link, виконуючи шкідливі команди, що дає змогу ботнетам красти дані та запускати скрипти оболонки. Основне призначення злому – проведення DDoS-атак.

Ботнет Ficora, новий варіант мережі Mirai, демонструє широку географічну активність, здебільшого в Японії та США, тоді як Capsaicin орієнтований переважно на країни Східної Азії. Ficora використовує скрипт multi для завантаження і виконання корисного навантаження різними методами, включно з wget, curl, ftpget і tftp.

Ficora має вбудований компонент підбору паролів для зараження додаткових Linux-пристроїв і підтримує кілька видів DDoS-атак, таких як UDP-флуд, TCP-флуд і DNS-ампліфікація.

Capsaicin, зі свого боку, – це модифікація ботнету Kaiten. Зараження ним відбувається через скрипт bins.sh, який завантажує двійкові файли з префіксом yakuza для різних архітектур. Ботнет блокує процеси інших шкідливих програм для забезпечення своєї унікальної активності та збирає інформацію про хост, передаючи її на сервер управління.

Експерти рекомендують встановлювати останні версії прошивок для запобігання зараження пристроїв. Якщо обладнання більше не отримує оновлень безпеки, його слід замінити на нові моделі, щоб не стати жертвою хакерів.

Источник: itechua.com