近期，两个名为“Ficora”和“Capsaicin”的僵尸网络在针对已停产或运行过时固件版本的D-Link路由器的攻击活动中表现活跃。受影响的设备包括个人和组织常用的D-Link型号，如DIR-645、DIR-806、GO-RT-AC750和DIR-845L。

这两个恶意软件利用已知的漏洞进行初始入侵，其中包括CVE-2015-2051、CVE-2019-10891、CVE-2022-37056和CVE-2024-33112。一旦设备被攻破，攻击者会利用D-Link管理接口（HNAP）中的弱点，通过GetDeviceSettings操作执行恶意命令。

这些僵尸网络具备窃取数据和执行Shell脚本的能力。攻击者似乎利用这些设备进行分布式拒绝服务（DDoS）攻击。

Ficora是Mirai僵尸网络的一个新变种，专门针对D-Link设备的漏洞。根据Fortinet的遥测数据，该僵尸网络在10月和11月期间活动显著增加，表现出随机攻击的特点。

感染过程

Ficora在获得D-Link设备的初始访问权限后，会使用名为“multi”的Shell脚本，通过多种方法（如wget、curl、ftpget和tftp）下载并执行其有效载荷。该恶意软件包含一个内置的暴力破解组件，使用硬编码的凭据感染其他基于Linux的设备，并支持多种硬件架构。

Ficora支持UDP洪水攻击、TCP洪水攻击和DNS放大攻击，以最大化其攻击威力。

Capsaicin是Kaiten僵尸网络的一个变种，被认为是Keksec组织开发的恶意软件，该组织以“EnemyBot”和其他针对Linux设备的恶意软件家族而闻名。Fortinet仅在10月21日至22日期间观察到其爆发性攻击，主要针对东亚国家。

Capsaicin的感染通过一个下载脚本（“bins.sh”）进行，该脚本获取不同架构的二进制文件（前缀为“yakuza”），包括arm、mips、sparc和x86。该恶意软件会主动查找并禁用同一主机上其他活跃的僵尸网络有效载荷。

除了与Ficora相似的DDoS能力外，Capsaicin还可以收集主机信息并将其外泄到命令与控制（C2）服务器以进行跟踪。

防止路由器和物联网设备感染僵尸网络恶意软件的一种方法是确保它们运行最新的固件版本，以修复已知漏洞。如果设备已停产且不再接收安全更新，则应更换为新设备。

参考来源：https://www.bleepingcomputer.com/news/security/malware-botnets-exploit-outdated-d-link-routers-in-recent-attacks/