Các lỗ hổng bảo mật cũ của D-Link tiếp tục bị botnet tấn công
FortiGuard Labs nhận thấy sự gia tăng đột biến trong hoạt động của hai botnet khác nhau - Ficora và Capsaicin - vào tháng 10 và tháng 11 năm 2024. Các botnet này thường lây lan qua các lỗ hổng trong D-Link và cho phép kẻ tấn công thực hiện các lệnh độc hại từ xa.
Mức độ ảnh hưởng
Các thiết bị bị ảnh hưởng:
Bộ định tuyến có dây/không dây D-Link DIR-645 Rev
Ax với firmware 1.04b12 trở về trước
Thiết bị D-Link DIR-806. D-Link GO-RT-AC750 GORTAC750_revA_v101b03 và GO-RT-AC750_revB_FWv200b02
Bộ định tuyến D-Link DIR-845L v1.01KRb03 trở về trước
Các CVE liên quan:
CVE-2015-2051
CVE-2019-10891
CVE-2022-37056
CVE-2024-33112
Người dùng bị ảnh hưởng: Bất kỳ tổ chức nào
Mức độ ảnh hưởng: Kẻ tấn công có thể giành quyền kiểm soát các hệ thống từ xa
Mức độ nghiêm trọng: Cao
Khi một thiết bị bị khai thác thành công, kẻ tấn công sẽ lợi dụng điểm yếu trong giao diện quản lý (HNAP) của D-Link và thực thi các lệnh độc hại thông qua GetDeviceSettings.
Các botnet có thể đánh cắp dữ liệu và thực thi các tập lệnh shell. Mục đích của kẻ tấn công có vẻ như là sử dụng các thiết bị cho các cuộc tấn công từ chối dịch vụ phân tán (DDoS).
Botnet Ficora tập trung chủ yếu vào tấn công thị trường Nhật Bản và Hoa Kỳ. Trong khi đó Capsaicin dường như nhắm mục tiêu chủ yếu vào các thiết bị ở các quốc gia Đông Á và mới tăng cường hoạt động được hai ngày, bắt đầu từ ngày 21 tháng 10.
Hình 1. Chỉ số IPS của các cuộc tấn công
Ficora botnet
Ficora là biến thể mới hơn của Mirai notnet, được thiết kế để khai thác lỗ hổng cụ thể trong các thiết bị D-Link.
Hình 2. Phạm vi hoạt động của Ficora botnet
Sau khi thực hiện initial access trên các thiết bị D-Link, Ficora sử dụng một tập lệnh shell có tên là ‘multi’ để tải xuống và thực thi payload của nó thông qua nhiều phương thức như wget, curl, ftpget và tftp, sau đó tự xoá nó khỏi hệ thống của nạn nhân.
Hình 3. Command độc hại khai thác lỗ hổng của D-Link để tải xuống mã độc “FICORA”
Mã độc này sử dụng phương pháp brute-force với danh sách username và password được định nghĩa sẵn để có thể lây nhiễm trên nhiều các thiết bị nhân Linux, đồng thời hỗ trợ nhiều kiến trúc phần cứng khác nhau.
Hình 4. Danh sách username được định nghĩa sẵn
Hình 5. Danh sách password được định nghĩa sẵn
Về khả năng tấn công DDoS, nó hỗ trợ tấn công UDP flooding, TCP flooding và DNS amplification, đa dạng hoá phương thức tấn công để chống lại các hệ thống phòng thủ.
Capsaicin botnet
Capsaicin là một biến thể của Kaiten botnet và được cho là mã độc do nhóm Keksec phát triển, nổi tiếng với mã độc “EnemyBot” và rất nhiều họ mã độc khác nhắm vào các thiết bị Linux. Fortinet phát hiện ra Capsaicin trong một loạt các cuộc tấn công từ ngày 21 đến 22 tháng 10, chủ yếu nhắm vào các quốc gia Đông Á.
Việc lây nhiễm xảy ra thông qua một tập lệnh tải xuống (“bins.sh”), tập lệnh này sẽ tải các tệp nhị phân có tiền tố 'yakuza' cho các kiến trúc phần cứng khác nhau, bao gồm arm, mips, sparc và x86.
Hình 6. Command độc hại khai thác lỗ hổng của D-Link để tải xuống mã độc “CAPSAICIN”
Ngoài ra, mã độc này sẽ chủ động tìm kiếm các botnet khác đang hoạt động trên cùng một máy chủ và vô hiệu hóa chúng.
Ngoài khả năng DDoS tương tự như Ficora, Capsaicin còn có thể thu thập thông tin máy chủ và truyền đến command and control (C2) server để theo dõi.
Hình 7. Danh sách các lệnh để thực hiện C2
Hình 8. Danh sách các lệnh để thực hiện DDoS
Danh sách IOCs liên quan tới mã độc FICORA và CAPSAICIN
URLs
FICORA
| hxxp://103[.]149[.]87[.]69/multi |
| hxxp://103[.]149[.]87[.]69/la.bot.arc |
| hxxp://103[.]149[.]87[.]69/la.bot.arm |
| hxxp://103[.]149[.]87[.]69/la.bot.arm5 |
| hxxp://103[.]149[.]87[.]69/la.bot.arm6 |
| hxxp://103[.]149[.]87[.]69/la.bot.arm7 |
| hxxp://103[.]149[.]87[.]69/la.bot.m68k |
| hxxp://103[.]149[.]87[.]69/la.bot.mips |
| hxxp://103[.]149[.]87[.]69/la.bot.mipsel |
| hxxp://103[.]149[.]87[.]69/la.bot.powerpc |
| hxxp://103[.]149[.]87[.]69/la.bot.sh4 |
| hxxp://103[.]149[.]87[.]69/la.bot.sparc |
CAPSAICIN
| hxxp://87[.]11[.]174[.]141/bins.sh |
| hxxp://pirati[.]abuser[.]eu/yakuza.yak.sh |
| hxxp://pirati[.]abuser[.]eu/yakuza.arm5 |
| hxxp://pirati[.]abuser[.]eu/yakuza.arm6 |
| hxxp://pirati[.]abuser[.]eu/yakuza.arm7 |
| hxxp://pirati[.]abuser[.]eu/yakuza.i586 |
| hxxp://pirati[.]abuser[.]eu/yakuza.i686 |
| hxxp://pirati[.]abuser[.]eu/yakuza.m68k |
| hxxp://pirati[.]abuser[.]eu/yakuza.mips |
| hxxp://pirati[.]abuser[.]eu/yakuza.mipsel |
| hxxp://pirati[.]abuser[.]eu/yakuza.ppc |
| hxxp://pirati[.]abuser[.]eu/yakuza.sparc |
| hxxp://pirati[.]abuser[.]eu/yakuza.x86 |
| hxxp://87[.]10[.]220[.]221/bins.sh |
| hxxp://87[.]10[.]220[.]221/yakuza.sh |
| hxxp://87[.]10[.]220[.]221/yakuza.arm4 |
| hxxp://87[.]10[.]220[.]221/yakuza.arm5 |
| hxxp://87[.]10[.]220[.]221/yakuza.arm6 |
| hxxp://87[.]10[.]220[.]221/yakuza.arm7 |
| hxxp://87[.]10[.]220[.]221/yakuza.i586 |
| hxxp://87[.]10[.]220[.]221/yakuza.i686 |
| hxxp://87[.]10[.]220[.]221/yakuza.m68k |
| hxxp://87[.]10[.]220[.]221/yakuza.mips |
| hxxp://87[.]10[.]220[.]221/yakuza.mipsel |
| hxxp://87[.]10[.]220[.]221/yakuza.ppc |
| hxxp://87[.]10[.]220[.]221/yakuza.sparc |
| hxxp://87[.]10[.]220[.]221/yakuza.x86 |
Hosts
| 103[.]149[.]87[.]69 |
| ru[.]coziest[.]lol |
| f[.]codingdrunk[.]cc |
| www[.]codingdrunk[.]in |
| eighteen[.]pirate |
| nineteen[.]libre |
| 75cents[.]libre |
| 2joints[.]libre |
| fortyfivehundred[.]dyn |
| 21savage[.]dyn |
| imaverygoodbadboy[.]libre |
| le[.]codingdrunk[.]in |
| 87[.]11[.]174[.]141 |
| pirati[.]abuser[.]eu |
| 87[.]10[.]220[.]221 |
| 45[.]86[.]86[.]60 |
| 194[.]110[.]247[.]46 |
Files
Downloader
| Value | Type |
| f71dc58cc969e79cb0fdfe5163fbb9ed4fee5e13cc9407a11d231601ee4c6e23 | SHA-256 |
| ea83411bd7b6e5a7364f7b8b9018f0f17f7084aeb58a47736dd80c99cfeac7f1 | SHA-256 |
| 48a04c7c33a787ef72f1a61aec9fad87d6bd9c49542f52af7e029ac83475f45d | SHA-256 |
| 18c92006951f93a77df14eca6430f32389080838d97c9e47364bf82f6c21a907 | SHA-256 |
FICORA
| Value | Type |
| 9b161a32d89f9b19d40cd4c21d436c1daf208b5d159ffe1df7ad5fd1a57610e5 | SHA-256 |
| faeea9d5091384195e87caae9dd88010c9a2b3b2c88ae9cac8d79fd94f250e9f | SHA-256 |
| 10d7aedc963ea77302b967aad100d7dd90d95abcdb099c5a0a2df309c52c32b8 | SHA-256 |
| 7f6912de8bef9ced5b9018401452278570b4264bb1e935292575f2c3a0616ec4 | SHA-256 |
| a06fd0b8936f5b2370db5f7ec933d53bd8a1bf5042cdc5c052390d1ecc7c0e07 | SHA-256 |
| 764a03bf28f9eec50a1bd994308e977a64201fbe5d41337bdcc942c74861bcd3 | SHA-256 |
| df176fb8cfbc7512c77673f862e73833641ebb0d43213492c168f99302dcd5e3 | SHA-256 |
| ac2df391ede03df27bcf238077d2dddcde24cd86f16202c5c51ecd31b7596a68 | SHA-256 |
| ca3f6dce945ccad5a50ea01262b2d42171f893632fc5c5b8ce4499990e978e5b | SHA-256 |
| afee245b6f999f6b9d0dd997436df5f2abfb3c8d2a8811ff57e3c21637207d62 | SHA-256 |
| ec508df7cb142a639b0c33f710d5e49c29a5a578521b6306bee28012aadde4a8 | SHA-256 |
CAPSAICIN
| Value | Type |
| 8349ba17f028b6a17aaa09cd17f1107409611a0734e06e6047ccc33e8ff669b0 | SHA-256 |
| b3ad8409d82500e790e6599337abe4d6edf5bd4c6737f8357d19edd82c88b064 | SHA-256 |
| ec87dc841af77ec2987f3e8ae316143218e9557e281ca13fb954536aa9f9caf1 | SHA-256 |
| 784c9711eadceb7fedf022b7d7f00cff7a75d05c18ff726e257602e3a3ccccc1 | SHA-256 |
| bde6ef047e0880ac7ef02e56eb87d5bc39116e98ef97a5b1960e9a55cea5082b | SHA-256 |
| c7be8d1b8948e1cb095d46376ced64367718ed2d9270c2fc99c7052a9d1ffed7 | SHA-256 |
| 4600703535e35b464f0198a1fa95e3668a0c956ab68ce7b719c28031d69b86ff | SHA-256 |
| 6e3ef9404817e168c974000205b27723bc93abd7fbf0581c16bb5d2e1c5c6e4a | SHA-256 |
| 32e66b87f47245a892b102b7141d3845540b270c278e221f502807758a4e5dee | SHA-256 |
| 540c00e6c0b53332128b605b0d5e0926db0560a541bb13448d094764844763df | SHA-256 |
| b74dbd02b7ebb51700f3c5900283e46570fe497f9b415d25a029623118073519 | SHA-256 |
| 148f6b990fc1f1903287cd5c20276664b332dd3ba8d58f2bf8c26334c93c3af5 | SHA-256 |
| 464e2f1faab2a40db44f118f7c3d1f9b300297fe6ced83fabe87563fc82efe95 | SHA-256 |
| b699cd64b9895cdcc325d7dd96c9eca623d3ec0247d20f39323547132c8fa63b | SHA-256 |
| 1007f5613a91a5d4170f28e24bfa704c8a63d95a2b4d033ff2bff7e2fe3dcffe | SHA-256 |
| 7a815d4ca3771de8a71cde2bdacf951bf48ea5854eb0a2af5db7d13ad51c44ab | SHA-256 |
| d6a2a22000d68d79caeae482d8cf092c2d84d55dccee05e179a961c72f77b1ba | SHA-256 |
| 7ab36a93f009058e60c8a45b900c1c7ae38c96005a43a39e45be9dc7af9d6da8 | SHA-256 |
| 803abfe19cdc6c0c41acfeb210a2361cab96d5926b2c43e5eb3b589a6ed189ad | SHA-256 |
| 7b29053306f194ca75021952f97f894d8eae6d2e1d02939df37b62d3845bfdb7 | SHA-256 |
| 59704cf55b9fa439d6f7a36821a50178e9d73ddc5407ff340460c054d7defc54 | SHA-256 |
| aaa49b7b4f1e71623c42bc77bb7aa40534bcb7312da511b041799bf0e1a63ee7 | SHA-256 |
| 1ca1d5a53c4379c3015c74af2b18c1d9285ac1a48d515f9b7827e4f900a61bde | SHA-256 |
Khuyến nghị
Phía FPT Threat Intelligence khuyến nghị tổ chức và cá nhân một số cách để phòng chống chiến dịch này:
Cập nhật firmware thiết bị: Đảm bảo các thiết bị router và IoT luôn chạy phiên bản firmware mới nhất để vá các lỗ hổng bảo mật đã biết.
Thay thế thiết bị cũ: Nếu thiết bị đã hết vòng đời và không còn nhận được bản cập nhật bảo mật, hãy thay thế bằng một model mới.
Thay đổi mật khẩu mặc định: Sử dụng mật khẩu admin mạnh và độc nhất, đồng thời tắt các giao diện truy cập từ xa nếu không cần thiết.
