FortiGuard 实验室观察到Ficora 和 Kaiten 僵尸网络活动激增

FortiGuard Labs 的研究人员发现，2024 年底，与两个僵尸网络（Mirai变体“ FICORA ”和 Kaiten 变体“CAPSAICIN”）相关的活动激增。

这两个僵尸网络都针对 D-Link 设备中的漏洞，特别是通过 HNAP 接口，允许远程命令执行。僵尸网络利用的一些漏洞包括CVE-2015-2051、CVE-2019-10891、CVE-2022-37056和 CVE-2024-33112。

Fortinet 发布的报告指出：“根据我们的 IPS 遥测数据，攻击者经常重复使用较早的攻击，这解释了‘FICORA’和‘CAPSAICIN’僵尸网络持续向受害主机和受感染目标蔓延的原因。”

研究人员注意到，最新的“FICORA”活动针对了全球许多国家，这表明它并非用于有针对性的攻击。

“CAPSAICIN”僵尸网络仅在 2024 年 10 月 21 日至 22 日两天内高度活跃，主要针对东亚国家。

“FICORA”僵尸网络会下载并执行名为“multi”的 shell 脚本，该脚本在执行后会被删除。该脚本使用“wget”、“ftpget”、“curl”和“tftp”等各种方法来下载恶意软件。

它首先终止与“FICORA”文件扩展名相同的进程，然后下载并执行针对多种 Linux 架构的恶意软件。恶意软件的配置（包括其 C2 服务器域和唯一字符串）使用 ChaCha20 算法进行加密。

FICORA 僵尸网络使用的扫描仪包含硬编码的用户名和密码，用于其暴力攻击功能。

恶意软件“FICORA”是Mirai恶意软件的变种，它具有使用“UDP”、“TCP”和“DNS”等多种协议的DDoS攻击功能。

“CAPSAICIN”僵尸网络使用具有不同 IP 地址（“87.10.220[.]221”）的下载程序脚本（“bins.sh”）来获取僵尸网络，以针对各种 Linux 架构。该恶意软件会杀死已知的僵尸网络进程，以确保它是唯一运行的进程。然后它连接到其 C2 服务器（“192.110.247[.]46”），将受害者的操作系统信息和唯一昵称发送回服务器。

根据在“CAPSAICIN”恶意软件中发现的硬编码信息，“CAPSAICIN”恶意软件似乎是Keksec组织僵尸网络的一个变种，可能是从其恶意软件 17.0.0 版本开发而来的。

尽管此次攻击所利用的漏洞在十年前就已被曝光和修补，但这些攻击仍然在全球范围内持续活跃。FortiGuard 实验室发现“FICORA”和“CAPSAICIN”通过此漏洞传播。

对于每个企业来说，定期更新设备内核并保持全面监控至关重要。对于不再提供更新的旧网络设备，应尽快淘汰。

技术报告：

https://www.fortinet.com/blog/threat-research/botnets-continue-to-target-aging-d-link-vulnerabilities

新闻链接：

https://securityaffairs.com/172373/uncategorized/surge-ficora-kaiten-botnets.html

讲述普通人能听懂的安全故事