Los investigadores de ciberseguridad advierten sobre un aumento en la actividad maliciosa que involucra conectar enrutadores D-Link vulnerables a dos botnets diferentes, una variante de Mirai denominada FICORA y una variante de Kaiten (también conocida como Tsunami) llamada CAPSAICIN.
“Estas botnets se propagan con frecuencia a través de vulnerabilidades documentadas de D-Link que permiten a atacantes remotos ejecutar comandos maliciosos a través de una acción GetDeviceSettings en la interfaz HNAP (Protocolo de administración de red doméstica)”, dijo Vincent Li, investigador de Fortinet FortiGuard Labs. dicho en un análisis del jueves.
“Esta debilidad de HNAP quedó expuesta por primera vez hace casi una década, con numerosos dispositivos afectados por una variedad de números CVE, incluidos CVE-2015-2051, CVE-2019-10891, CVE-2022-37056y CVE-2024-33112“.
Según los datos de telemetría de la empresa de ciberseguridad, los ataques que involucran a FICORA se han dirigido a varios países a nivel mundial, mientras que los relacionados con CAPSAICIN se dirigieron principalmente a territorios del este de Asia, como Japón y Taiwán. También se dice que la actividad de CAPSAICIN estuvo “intensamente” activa sólo entre el 21 y el 22 de octubre de 2024.
Los ataques de botnet FICORA conducen a la implementación de un script de descarga (“multi”) desde un servidor remoto (“103.149.87[.]69”), que luego procede a descargar la carga útil principal para diferentes arquitecturas de Linux por separado utilizando los comandos wget, ftpget, curl y tftp.
Dentro del malware botnet hay una función de ataque de fuerza bruta que contiene una lista codificada de nombres de usuarios y contraseñas. El derivado de Mirai también incluye funciones para realizar ataques de denegación de servicio distribuido (DDoS) utilizando los protocolos UDP, TCP y DNS.
El script de descarga (“bins.sh”) para CAPSAICIN aprovecha una dirección IP diferente (“87.10.220[.]221”), y sigue el mismo enfoque para recuperar la botnet para varias arquitecturas de Linux para garantizar la máxima compatibilidad.
“El malware elimina los procesos de botnet conocidos para garantizar que sea la única botnet que se ejecuta en el host de la víctima”, dijo Li. “‘CAPSAICIN’ establece un socket de conexión con su servidor C2, ‘192.110.247[.]46’ y envía la información del sistema operativo del host de la víctima y el apodo otorgado por el malware al servidor C2”.
Luego, CAPSAICIN espera que se ejecuten más comandos en los dispositivos comprometidos, incluido “PRIVMSG”, un comando que podría usarse para realizar varias operaciones maliciosas como las siguientes:
- GETIP: obtiene la dirección IP de una interfaz
- CLEARHISTORY: eliminar el historial de comandos
- FASTFLUX: inicie un proxy en un puerto en otra IP para una interfaz
- RNDNICK: aleatoriza el apodo de los hosts de la víctima
- NICK: cambia el apodo del host de la víctima
- SERVIDOR – Cambiar servidor de comando y control
- HABILITAR – Habilitar el bot
- KILL – Mata la sesión
- OBTENER – Descargar un archivo
- VERSIÓN: Solicita la versión del host de la víctima.
- IRC: reenvía un mensaje al servidor
- SH – Ejecutar comandos de shell
- ISH: interactuar con el shell del host de la víctima
- SHD: ejecuta el comando Shell e ignora las señales
- INSTALAR: descargue e instale un binario en “/var/bin”
- BASH: ejecutar comandos usando bash
- BINUPDATE: actualiza un binario a “/var/bin” mediante get
- BLOQUEO: elimine la puerta trasera de Telnet y ejecute el malware en su lugar
- AYUDA: muestra información de ayuda sobre el malware
- STD: ataque de inundación con cadenas aleatorias codificadas para el número de puerto y el objetivo especificado por el atacante
- DESCONOCIDO: ataque de inundación UDP con caracteres aleatorios para el número de puerto y el objetivo especificado por el atacante
- HTTP: ataque de inundación HTTP.
- HOLD: ataque de inundación de conexión TCP.
- BASURA: ataque de inundación TCP.
- BLACKNURSE: ataque BlackNurse, que se basa en el ataque de inundación de paquetes ICMP
- DNS: ataque de inundación de amplificación de DNS
- KILLALL – Detén todos los ataques DDoS
- KILLMYEYEPEEUSINGHOIC – Terminar el malware original
“Aunque las debilidades explotadas en este ataque fueron expuestas y reparadas hace casi una década, estos ataques han permanecido continuamente activos en todo el mundo”, dijo Li. “Es fundamental que todas las empresas actualicen periódicamente el núcleo de sus dispositivos y mantengan un seguimiento exhaustivo”.
About the Author
