2 min Security

Malware-botnets misbruiken verouderde D-Link-routers

Malware-botnets misbruiken verouderde D-Link-routers

Twee botnets, bekend als ‘Ficora’ en ‘Capsaicin’, voerden hun activiteiten op om D-Link-routers aan te vallen die end-of-life zijn. Of die op verouderde firmware draaien.  

De aanvallen richten zich op populaire D-Link-modellen zoals DIR-645, DIR-806, GO-RT-AC750 en DIR-845L. De devices worden in de praktijk gebruikt door zowel particulieren als organisaties. 

De malware maakt gebruik van bekende kwetsbaarheden. Zoals onder meer CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 en CVE-2024-33112. Zo krijgen ze initiële toegang tot de apparaten die men aanvalt. Zodra een apparaat is gecompromitteerd, maken aanvallers gebruik van zwakheden in de D-Link-beheerinterface (HNAP) en voeren zij schadelijke opdrachten uit via de GetDeviceSettings-actie.  

Deze botnets kunnen gegevens stelen en shell-scripts uitvoeren. Criminelen zetten de botnets vaak in voor grootschalige Distributed Denial-of-Service (DDoS)-aanvallen.  

Nieuwe variant van Mirai-botnet

Ficora is een nieuwe variant van het beruchte Mirai-botnet, specifiek aangepast om zwakheden in D-Link-apparaten te benutten.  

Volgens gegevens van Fortinet toont Ficora een willekeurig aanvalsprofiel, met pieken in activiteit in oktober en november. Na toegang te verkrijgen, gebruikt Ficora een shell-script genaamd ‘multi’ om de payload te downloaden en uit te voeren via methoden zoals wget, curl, ftpget en tftp.  

De malware bevat een ingebouwd brute force-component met hardcoded inloggegevens om andere Linux-apparaten te infecteren en ondersteunt meerdere hardware-architecturen. Voor zijn DDoS-aanvallen maakt Ficora gebruik van UDP-flooding, TCP-flooding en DNS-amplificatie.  

Infectie begint met een download-script

Capsaicin, een variant van het Kaiten-botnet, wordt toegeschreven aan de Keksec-groep, die bekend staat om malware zoals EnemyBot. Dit botnet was actief tussen 21 en 22 oktober en richtte zich voornamelijk op Oost-Aziatische landen.  

De infectie begint met een download-script genaamd “bins.sh”, dat uitvoerbare bestanden (met de prefix ‘yakuza’) ophaalt voor architecturen zoals arm, mips, sparc en x86. Capsaicin is ontworpen om andere actieve botnet-payloads op dezelfde host te identificeren en uit te schakelen. Naast zijn DDoS-functionaliteiten verzamelt het botnet ook hostinformatie en stuurt deze naar de command-and-control (C2)-server.