BleepingComputer: хакеры используют чужие маршрутизаторы D-Link для DDoS-атак

Два активных ботнета Ficora и Capsaicin увеличили частоту атак на устаревшие маршрутизаторы D-Link, для которых больше не выходят свежие прошивки. В числе уязвимых моделей значатся такие популярные устройства, как DIR-645, DIR-806, GO-RT-AC750 и DIR-845L, сообщает портал BleepingComputer.

Для получения первоначального доступа оба вредоносных ПО используют уязвимости CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 и CVE-2024-33112.Новости СМИ2 После взлома злоумышленники используют уязвимости в интерфейсе управления D-Link, выполняя вредоносные команды, что позволяет ботнетам красть данные и запускать скрипты оболочки. Основное назначение взлома — проведение DDoS-атак.

Ботнет Ficora, новый вариант сети Mirai, демонстрирует широкую географическую активность, в основном в Японии и США, в то время как Capsaicin ориентирован преимущественно на страны Восточной Азии. Ficora использует скрипт multi для загрузки и выполнения полезной нагрузки различными методами, включая wget, curl, ftpget и tftp.

Ficora включает встроенный компонент подбора паролей для заражения дополнительных Linux-устройств и поддерживает несколько видов DDoS-атак, таких как UDP-флуд, TCP-флуд и DNS-амплификация.

Capsaicin, в свою очередь, — это модификация ботнета Kaiten. Заражение им происходит через скрипт bins.sh, который загружает двоичные файлы с префиксом yakuza для различных архитектур. Ботнет блокирует процессы других вредоносных программ для обеспечения своей уникальной активности и собирает информацию о хосте, передавая ее на сервер управления.