Siber güvenlik araştırmacıları, savunmasız D-Link yönlendiricilerinin iki farklı botnet’e bağlanmasını içeren kötü amaçlı faaliyetlerde bir artış olduğu konusunda uyarıyorlar; FICORA olarak adlandırılan bir Mirai türü ve CAPSAICIN adı verilen bir Kaiten (diğer adıyla Tsunami) türü.
Fortinet FortiGuard Labs araştırmacısı Vincent Li, “Bu bot ağları sıklıkla, uzaktaki saldırganların HNAP (Ev Ağı Yönetim Protokolü) arayüzündeki GetDeviceSettings eylemi yoluyla kötü amaçlı komutlar yürütmesine olanak tanıyan belgelenmiş D-Link güvenlik açıkları yoluyla yayılıyor.” söz konusu Perşembe analizinde.
“Bu HNAP zayıflığı ilk olarak neredeyse on yıl önce, çok sayıda cihazın çeşitli CVE sayılarından etkilenmesiyle açığa çıktı; CVE-2015-2051, CVE-2019-10891, CVE-2022-37056Ve CVE-2024-33112“
Siber güvenlik şirketinin telemetri verilerine göre, FICORA’yı içeren saldırılar küresel olarak çeşitli ülkeleri hedef alırken, CAPSAICIN ile ilgili saldırılar öncelikle Japonya ve Tayvan gibi Doğu Asya bölgelerini hedef aldı. KAPSAİSİN faaliyetinin de yalnızca 21-22 Ekim 2024 tarihleri arasında “yoğun” şekilde aktif olduğu söyleniyor.
FICORA botnet saldırıları, uzak bir sunucudan (“103.149.87”) bir indirici kabuk komut dosyasının (“çoklu”) konuşlandırılmasına yol açar[.]69″), daha sonra wget, ftpget, curl ve tftp komutlarını kullanarak farklı Linux mimarileri için ana yükü ayrı ayrı indirmeye devam eder.
Botnet kötü amaçlı yazılımının içinde, sabit kodlanmış bir kullanıcı adı ve parola listesi içeren bir kaba kuvvet saldırısı işlevi mevcuttur. Mirai türevi aynı zamanda UDP, TCP ve DNS protokollerini kullanarak dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmeye yönelik özellikler de içerir.
CAPSAICIN için indirme komut dosyası (“bins.sh”) farklı bir IP adresinden (“87.10.220) yararlanır[.]221”) ve maksimum uyumluluk sağlamak amacıyla çeşitli Linux mimarilerine yönelik botnet’i getirmek için aynı yaklaşımı izler.
Li, “Kötü amaçlı yazılım, kurban ana bilgisayarda yürütülen tek botnet olduğundan emin olmak için bilinen botnet süreçlerini öldürüyor” dedi. “‘CAPSAICIN’, ‘192.110.247’ C2 sunucusuyla bağlantı soketi kuruyor[.]46′ ve kurban ana bilgisayarın işletim sistemi bilgilerini ve kötü amaçlı yazılım tarafından verilen takma adı C2 sunucusuna geri gönderir.”
CAPSAICIN daha sonra, aşağıdaki gibi çeşitli kötü amaçlı işlemleri gerçekleştirmek için kullanılabilecek bir komut olan “PRIVMSG” de dahil olmak üzere, ele geçirilen cihazlarda başka komutların yürütülmesini bekler:
- GETIP – Bir arayüzden IP adresini alın
- CLEARHISTORY – Komut geçmişini kaldır
- FASTFLUX – Bir arayüze başka bir IP üzerindeki bağlantı noktasına proxy başlatın
- RNDNICK – Kurban sunucuların takma adlarını rastgele seç
- NICK – Kurban sunucunun takma adını değiştirin
- SUNUCU – Komuta ve kontrol sunucusunu değiştir
- ENABLE – Botu etkinleştirin
- KILL – Oturumu sonlandır
- GET – Dosya indir
- VERSION – Kurban ana bilgisayarın sürümünü ister
- IRC – Sunucuya bir mesaj ilet
- SH – Kabuk komutlarını yürüt
- ISH – Kurban ana bilgisayarın kabuğuyla etkileşime gir
- SHD – Kabuk komutunu yürütün ve sinyalleri yok sayın
- KURULUM – “/var/bin” dizinine bir ikili dosya indirip yükleyin
- BASH – Komutları bash kullanarak çalıştır
- BINUPDATE – Get yoluyla bir ikili dosyayı “/var/bin” olarak güncelleyin
- LOCKUP – Telnet arka kapısını sonlandırın ve bunun yerine kötü amaçlı yazılımı çalıştırın
- YARDIM – Kötü amaçlı yazılımla ilgili yardım bilgilerini görüntüle
- STD – Saldırganın belirttiği bağlantı noktası numarası ve hedef için rastgele kodlanmış dizelerle dolu saldırı
- BİLİNMİYOR – Saldırganın belirttiği bağlantı noktası numarası ve hedef için rastgele karakterlerle UDP taşması saldırısı
- HTTP – HTTP taşma saldırısı.
- HOLD – TCP bağlantısı taşması saldırısı.
- JUNK – TCP taşma saldırısı.
- BLACKNURSE – ICMP paket taşma saldırısına dayanan BlackNurse saldırısı
- DNS – DNS yükseltme baskını saldırısı
- KILLALL – Tüm DDoS saldırılarını durdurun
- KILLMYEYEEPEEUSINGHOIC – Orijinal kötü amaçlı yazılımı sonlandırın
Li, “Bu saldırıda yararlanılan zayıflıklar yaklaşık on yıl önce açığa çıkarılmış ve yamalanmış olsa da, bu saldırılar dünya çapında sürekli olarak aktif kaldı” dedi. “Her kuruluşun cihazlarının çekirdeğini düzenli olarak güncellemesi ve kapsamlı izlemeyi sürdürmesi çok önemlidir.”
