近期，兩個名為“Ficora”和“Capsaicin”的僵尸網絡在針對已停產或運行過時固件版本的D-Link路由器的攻擊活動中表現活躍。受影響的設備包括個人和組織常用的D-Link型號，如DIR-645、DIR-806、GO-RT-AC750和DIR-845L。

這兩個惡意軟件利用已知的漏洞進行初始入侵，其中包括CVE-2015-2051、CVE-2019-10891、CVE-2022-37056和CVE-2024-33112。一旦設備被攻破，攻擊者會利用D-Link管理接口（HNAP）中的弱點，通過GetDeviceSettings操作執行惡意命令。

這些僵尸網絡具備竊取數據和執行Shell腳本的能力。攻擊者似乎利用這些設備進行分布式拒絕服務（DDoS）攻擊。

Ficora是Mirai僵尸網絡的一個新變種，專門針對D-Link設備的漏洞。根據Fortinet的遙測數據，該僵尸網絡在10月和11月期間活動顯著增加，表現出隨機攻擊的特點。

感染過程

Ficora在獲得D-Link設備的初始訪問權限后，會使用名為“multi”的Shell腳本，通過多種方法（如wget、curl、ftpget和tftp）下載并執行其有效載荷。該惡意軟件包含一個內置的暴力破解組件，使用硬編碼的憑據感染其他基于Linux的設備，并支持多種硬件架構。

Ficora支持UDP洪水攻擊、TCP洪水攻擊和DNS放大攻擊，以最大化其攻擊威力。

Capsaicin是Kaiten僵尸網絡的一個變種，被認為是Keksec組織開發的惡意軟件，該組織以“EnemyBot”和其他針對Linux設備的惡意軟件家族而聞名。Fortinet僅在10月21日至22日期間觀察到其爆發性攻擊，主要針對東亞國家。

Capsaicin的感染通過一個下載腳本（“bins.sh”）進行，該腳本獲取不同架構的二進制文件（前綴為“yakuza”），包括arm、mips、sparc和x86。該惡意軟件會主動查找并禁用同一主機上其他活躍的僵尸網絡有效載荷。

除了與Ficora相似的DDoS能力外，Capsaicin還可以收集主機信息并將其外泄到命令與控制（C2）服務器以進行跟蹤。

防止路由器和物聯網設備感染僵尸網絡惡意軟件的一種方法是確保它們運行最新的固件版本，以修復已知漏洞。如果設備已停產且不再接收安全更新，則應更換為新設備。

參考來源：https://www.bleepingcomputer.com/news/security/malware-botnets-exploit-outdated-d-link-routers-in-recent-attacks/