Cybersecurity-onderzoekers waarschuwen voor een piek in kwaadaardige activiteiten waarbij kwetsbare D-Link-routers in twee verschillende botnets worden aangesloten: een Mirai-variant genaamd FICORA en een Kaiten (ook bekend als Tsunami) variant genaamd CAPSAICIN.
“Deze botnets worden vaak verspreid via gedocumenteerde D-Link-kwetsbaarheden waarmee aanvallers op afstand kwaadaardige opdrachten kunnen uitvoeren via een GetDeviceSettings-actie op de HNAP-interface (Home Network Administration Protocol), ” zei Fortinet FortiGuard Labs-onderzoeker Vincent Li in een analyse van donderdag.
“Deze HNAP-zwakte werd bijna tien jaar geleden voor het eerst aan het licht gebracht, waarbij talloze apparaten werden getroffen door een verscheidenheid aan CVE-nummers, waaronder CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 en CVE-2024-33112.”
Volgens de telemetriegegevens van het cyberbeveiligingsbedrijf zijn aanvallen waarbij FICORA betrokken is, gericht op verschillende landen over de hele wereld, terwijl aanvallen die verband houden met CAPSAICIN vooral Oost-Aziatische gebieden zoals Japan en Taiwan hebben getroffen. Er wordt ook gezegd dat de CAPSAICIN-activiteit alleen tussen 21 en 22 oktober 2024 “intens” actief was.
FICORA-botnetaanvallen leiden tot de inzet van een downloader-shellscript (“multi”) vanaf een externe server (“103.149.87(.)69”), dat vervolgens doorgaat met het afzonderlijk downloaden van de belangrijkste payload voor verschillende Linux-architecturen met behulp van wget, ftpget , curl- en tftp-opdrachten.
In de botnet-malware is een brute-force-aanvalsfunctie aanwezig die een hardgecodeerde lijst met gebruikersnamen en wachtwoorden bevat. Het Mirai-derivaat bevat ook functies om gedistribueerde denial-of-service (DDoS)-aanvallen uit te voeren met behulp van UDP-, TCP- en DNS-protocollen.
Het downloaderscript (“bins.sh”) voor CAPSAICIN maakt gebruik van een ander IP-adres (“87.10.220(.)221”) en volgt dezelfde aanpak om het botnet op te halen voor verschillende Linux-architecturen om maximale compatibiliteit te garanderen.
“De malware doodt bekende botnetprocessen om er zeker van te zijn dat dit het enige botnet is dat wordt uitgevoerd op de host van het slachtoffer”, aldus Li. “‘CAPSAICIN’ brengt een verbindingssocket tot stand met zijn C2-server, ‘192.110.247(.)46’, en stuurt de OS-informatie van de slachtofferhost en de door de malware gegeven bijnaam terug naar de C2-server.”
CAPSAICIN wacht vervolgens tot verdere opdrachten worden uitgevoerd op de aangetaste apparaten, waaronder ‘PRIVMSG’, een opdracht die kan worden gebruikt om verschillende kwaadaardige bewerkingen uit te voeren, zoals:
- GETIP – Haal het IP-adres op van een interface
- CLEARHISTORY – Verwijder de opdrachtgeschiedenis
- FASTFLUX – Start een proxy naar een poort op een ander IP-adres naar een interface
- RNDNICK – Willekeurige bijnaam van de host van het slachtoffer
- NICK – Wijzig de bijnaam van de slachtofferhost
- SERVER – Wijzig de command-and-control-server
- INSCHAKELEN – Schakel de bot in
- KILL – Beëindig de sessie
- GET – Download een bestand
- VERSIE – Vraagt de versie van de slachtofferhost aan
- IRC – Stuur een bericht door naar de server
- SH – Voer shell-opdrachten uit
- ISH – Interactie met de schaal van de gastheer van het slachtoffer
- SHD – Voer het shell-commando uit en negeer signalen
- INSTALLEREN – Download en installeer een binair bestand naar “/var/bin”
- BASH – Voer opdrachten uit met bash
- BINUPDATE – Update een binair bestand naar “/var/bin” via get
- LOCKUP – Dood de achterdeur van Telnet en voer in plaats daarvan de malware uit
- HELP – Help-informatie over de malware weergeven
- STD – Flooding-aanval met willekeurige, hardgecodeerde strings voor het poortnummer en het doel dat door de aanvaller is opgegeven
- ONBEKEND – UDP-overstromingsaanval met willekeurige tekens voor het poortnummer en het doel dat door de aanvaller is opgegeven
- HTTP – HTTP-flooding-aanval.
- HOLD – Overstromingsaanval van TCP-verbinding.
- JUNK – TCP-overstromingsaanval.
- BLACKNURSE – BlackNurse-aanval, die is gebaseerd op de ICMP-pakketoverstromingsaanval
- DNS – Overstromingsaanval met DNS-versterking
- KILLALL – Stop alle DDoS-aanvallen
- KILLMYEYEPEEUSINGHOIC – Beëindig de originele malware
“Hoewel de zwakke punten die bij deze aanval werden uitgebuit bijna tien jaar geleden blootgelegd en hersteld waren, zijn deze aanvallen wereldwijd voortdurend actief gebleven”, zei Li. “Het is voor elke onderneming van cruciaal belang om de kernel van hun apparaten regelmatig te updaten en uitgebreide monitoring te onderhouden.”