Siber güvenlik araştırmacıları, savunmasız D-Link yönlendiricilerini iki farklı botnet’e bağlamayı içeren kötü niyetli faaliyetlerde bir artış olduğu konusunda uyarıyorlar; FICORA olarak adlandırılan bir Mirai çeşidi ve CAPSAICIN olarak adlandırılan bir Kaiten (diğer adıyla Tsunami) çeşidi.
Fortinet FortiGuard Labs araştırmacısı Vincent Li, perşembe günü yaptığı bir analizde, “Bu bot ağları sıklıkla, uzaktaki saldırganların HNAP (Ev Ağı Yönetim Protokolü) arayüzünde GetDeviceSettings eylemi yoluyla kötü amaçlı komutlar yürütmesine olanak tanıyan belgelenmiş D-Link güvenlik açıkları aracılığıyla yayılıyor” dedi.
“Bu HNAP zayıflığı ilk olarak neredeyse on yıl önce, CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 ve CVE-2024-33112 dahil olmak üzere çeşitli CVE numaralarından etkilenen çok sayıda cihazla ortaya çıktı.”
Siber güvenlik şirketinin telemetri verilerine göre, FICORA’nın dahil olduğu saldırılar küresel olarak çeşitli ülkeleri hedef alırken, CAPSAICIN ile ilgili olanlar öncelikle Japonya ve Tayvan gibi Doğu Asya bölgelerini hedef aldı. KAPSAİSİN faaliyetinin de yalnızca 21-22 Ekim 2024 tarihleri arasında “yoğun” şekilde aktif olduğu söyleniyor.
FICORA botnet saldırıları, uzak bir sunucudan (“103.149.87”) bir indirici kabuk komut dosyasının (“çoklu”) konuşlandırılmasına yol açar[.]69″), daha sonra wget, ftpget, curl ve tftp komutlarını kullanarak farklı Linux mimarileri için ana yükü ayrı ayrı indirmeye devam eder.
Botnet kötü amaçlı yazılımının içinde, sabit kodlanmış bir kullanıcı adı ve parola listesi içeren bir kaba kuvvet saldırısı işlevi mevcuttur. Mirai türevi aynı zamanda UDP, TCP ve DNS protokollerini kullanarak dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmeye yönelik özellikler de içerir.
CAPSAICIN için indirme komut dosyası (“bins.sh”) farklı bir IP adresinden (“87.10.220) yararlanır[.]221”) ve maksimum uyumluluk sağlamak amacıyla çeşitli Linux mimarilerine yönelik botnet’i getirmek için aynı yaklaşımı izler.
Li, “Kötü amaçlı yazılım, kurban ana bilgisayarda yürütülen tek botnet olduğundan emin olmak için bilinen botnet süreçlerini öldürüyor” dedi. “‘CAPSAICIN’, ‘192.110.247’ C2 sunucusuyla bağlantı soketi kuruyor[.]46′ ve kurban ana bilgisayarın işletim sistemi bilgilerini ve kötü amaçlı yazılım tarafından verilen takma adı C2 sunucusuna geri gönderir.”
CAPSAICIN daha sonra, aşağıdaki gibi çeşitli kötü amaçlı işlemleri gerçekleştirmek için kullanılabilecek bir komut olan “PRIVMSG” de dahil olmak üzere, ele geçirilen cihazlarda başka komutların yürütülmesini bekler:
- GETIP – Bir arayüzden IP adresini alın
- CLEARHISTORY – Komut geçmişini kaldır
- FASTFLUX – Bir arayüze başka bir IP üzerindeki bağlantı noktasına proxy başlatın
- RNDNICK – Kurban sunucuların takma adlarını rastgele seç
- NICK – Kurban sunucunun takma adını değiştirin
- SUNUCU – Komuta ve kontrol sunucusunu değiştirin
- ENABLE – Botu etkinleştirin
- KILL – Oturumu sonlandır
- GET – Dosya indir
- VERSION – Kurban ana bilgisayarın sürümünü ister
- IRC – Sunucuya bir mesaj ilet
- SH – Kabuk komutlarını yürüt
- ISH – Kurban ana bilgisayarın kabuğuyla etkileşime gir
- SHD – Kabuk komutunu yürütün ve sinyalleri yok sayın
- KURULUM – “/var/bin” dizinine bir ikili dosya indirip yükleyin
- BASH – Komutları bash kullanarak çalıştır
- BINUPDATE – Get yoluyla bir ikili dosyayı “/var/bin” olarak güncelleyin
- LOCKUP – Telnet arka kapısını sonlandırın ve bunun yerine kötü amaçlı yazılımı çalıştırın
- YARDIM – Kötü amaçlı yazılımla ilgili yardım bilgilerini görüntüle
- STD – Saldırgan tarafından belirtilen bağlantı noktası numarası ve hedef için rastgele kodlanmış dizelerle dolu saldırı
- BİLİNMİYOR – Saldırganın belirttiği bağlantı noktası numarası ve hedef için rastgele karakterlerle UDP taşması saldırısı
- HTTP – HTTP taşma saldırısı.
- HOLD – TCP bağlantısı taşması saldırısı.
- JUNK – TCP taşma saldırısı.
- BLACKNURSE – ICMP paket taşma saldırısına dayanan BlackNurse saldırısı
- DNS – DNS amplifikasyonu baskını saldırısı
- KILLALL – Tüm DDoS saldırılarını durdurun
- KILLMYEYEEPEEUSINGHOIC – Orijinal kötü amaçlı yazılımı sonlandırın
Li, “Bu saldırıda yararlanılan zayıflıklar yaklaşık on yıl önce ortaya çıkarılmış ve yamalanmış olsa da, bu saldırılar dünya çapında sürekli olarak aktif kaldı” dedi. “Her kuruluşun cihazlarının çekirdeğini düzenli olarak güncellemesi ve kapsamlı izlemeyi sürdürmesi çok önemlidir.”