恶意软件僵尸网络利用过时的 D-Link 路由器发起攻击

安全资讯 2024-12-31 54

HackerNews 编译,转载请注明出处:

近期,恶意软件僵尸网络“Ficora”与“Capsaicin”正利用已停产或运行过时固件版本的D-Link路由器发起攻击。这些目标涵盖了多款常见的D-Link型号,例如DIR-645、DIR-806、GO-RT-AC750以及DIR-845L。

在初始攻击阶段,攻击者利用了几个已知的漏洞,包括CVE-2015-2051、CVE-2019-10891、CVE-2022-37056和CVE-2024-33112。一旦设备沦陷,攻击者会通过D-Link管理界面(HNAP)的GetDeviceSettings操作执行恶意命令。

这两个僵尸网络不仅具备数据窃取能力,还能执行shell脚本。它们的主要用途是进行分布式拒绝服务(DDoS)攻击。

关于Ficora僵尸网络

Ficora是Mirai的一个变种,专门设计用于利用D-Link设备的漏洞。

根据Fortinet的遥测数据,Ficora的攻击活动在10月和11月出现了两次显著的峰值。该僵尸网络的感染范围广泛,但特别关注日本和美国。一旦感染,Ficora会通过名为“multi”的shell脚本下载并执行有效载荷,利用wget、curl、ftpget和tftp等多种方法。

此外,Ficora内置了暴力破解功能,并包含硬编码的凭证,使其能够感染其他基于Linux的设备,且支持多种硬件架构。

截屏2024-12-30 09.48.12

在DDoS攻击方面,Ficora具备UDP泛洪、TCP泛洪和DNS放大功能,从而增强了其攻击效果。

关于Capsaicin僵尸网络

Capsaicin是Kaiten僵尸网络的一个变种,据推测由Keksec组织开发,该组织因“EnemyBot”等针对Linux设备的恶意软件而闻名。

Capsaicin的攻击活动主要集中在10月21日至22日,目标多为东亚国家。在感染过程中,Capsaicin使用名为“bins.sh”的下载器脚本获取以“yakuza”为前缀的二进制文件,这些文件支持arm、mips、sparc和x86等多种架构。

此外,该恶意软件还会主动查找并禁用同一主机上运行的其他僵尸网络有效载荷。

截屏2024-12-30 09.47.21

除了与Ficora类似的DDoS功能外,Capsaicin还能收集主机信息并将其传输到指挥与控制(C2)服务器进行追踪。

截屏2024-12-30 09.45.33

为了防御这些僵尸网络恶意软件的攻击,建议采取以下措施:

  • 确保路由器和物联网设备运行最新的固件版本,以修复已知的漏洞。

  • 如果设备已停产且不再接收安全更新,建议更换为新型号的设备。

  • 更改默认的管理员凭证为独特且强大的密码,以增加攻击者的破解难度。

  • 关闭不必要的远程访问接口,以降低被攻击的风险。

本文转载自https://hackernews.cc/archives/56568

新型恶意软件针对中文地区展开网络攻击活动
« 上一篇 2024-12-31
警惕!国产工业路由器零日漏洞疑遭攻击者利用
下一篇 » 2025-01-01

文章评论