【安全资讯】FICORA与CAPSAICIN僵尸网络如何利用D-Link设备漏洞

概要：

近期，FortiGuard Labs观察到FICORA和CAPSAICIN两个恶名昭彰的僵尸网络在2024年10月和11月的活动显著增加。这些僵尸网络利用D-Link设备的长期漏洞，发起了广泛的攻击，给网络安全带来了严峻挑战。

主要内容：

FICORA和CAPSAICIN僵尸网络利用的漏洞包括CVE-2015-2051、CVE-2019-10891、CVE-2022-37056以及最新的CVE-2024-33112，这些漏洞存在于家庭网络管理协议（HNAP）接口中，允许攻击者远程执行恶意命令。尽管这些漏洞早已被记录，但由于未打补丁设备的普遍存在，依然构成了重大风险。

FICORA僵尸网络是臭名昭著的Mirai恶意软件的变种，使用名为“multi”的shell脚本下载并执行其有效载荷。该脚本能够适应多种Linux架构，目标包括ARM和SPARC系统。FICORA的独特之处在于其使用ChaCha20加密算法对配置进行编码，包括其命令与控制（C2）服务器的详细信息。

相比之下，CAPSAICIN僵尸网络在2024年10月21日至22日间主要针对东亚国家，展现出短暂的活动高峰。该僵尸网络通过名为“bins.sh”的下载脚本进行传播，专注于通过终止已知僵尸网络进程来控制受害主机。CAPSAICIN被认为基于Keksec组织开发的恶意软件版本，具备多种攻击功能，包括DDoS命令和环境变量操作。FortiGuard Labs的分析显示，CAPSAICIN与其C2服务器建立连接，并将受害主机的操作系统信息及恶意软件分配的昵称发送回C2服务器，显示出其复杂性和攻击能力。