BleepingComputer: хакеры используют чужие маршрутизаторы D-Link для DDoS-атак

Два активных ботнета Ficora и Capsaicin увеличили частоту атак на устаревшие маршрутизаторы D-Link, для которых больше не выходят свежие прошивки. В числе уязвимых моделей значатся такие популярные устройства, как DIR-645, DIR-806, GO-RT-AC750 и DIR-845L, сообщает портал BleepingComputer.

Для получения первоначального доступа оба вредоносных ПО используют уязвимости CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 и CVE-2024-33112. После взлома злоумышленники используют уязвимости в интерфейсе управления D-Link, выполняя вредоносные команды, что позволяет ботнетам красть данные и запускать скрипты оболочки. Основное назначение взлома — проведение DDoS-атак.

Ботнет Ficora, новый вариант сети Mirai, демонстрирует широкую географическую активность, в основном в Японии и США, в то время как Capsaicin ориентирован преимущественно на страны Восточной Азии. Ficora использует скрипт multi для загрузки и выполнения полезной нагрузки различными методами, включая wget, curl, ftpget и tftp.

Ficora включает встроенный компонент подбора паролей для заражения дополнительных Linux-устройств и поддерживает несколько видов DDoS-атак, таких как UDP-флуд, TCP-флуд и DNS-амплификация.

Capsaicin, в свою очередь, — это модификация ботнета Kaiten. Заражение им происходит через скрипт bins.sh, который загружает двоичные файлы с префиксом yakuza для различных архитектур. Ботнет блокирует процессы других вредоносных программ для обеспечения своей уникальной активности и собирает информацию о хосте, передавая ее на сервер управления.

Эксперты рекомендуют устанавливать последние версии прошивок для предотвращения заражения устройств. Если оборудование больше не получает обновлений безопасности, его следует заменить на новые модели, чтобы не стать жертвой хакеров.