鎖定D-Link網路設備漏洞的攻擊行動接連傳出,其中有不少是針對研究人員剛發現的新漏洞而來,如今有攻擊者一口氣針對多個已知漏洞下手,意圖控制裝置、將其納入殭屍網路大軍。
資安業者Fortinet在2024年10月至11月發現兩個殭屍網路的活動大幅增加的情況,其中一個是Mirai變種Ficora,另一個則是源自Kaiten變種的Capsaicin,而這些殭屍網路的散布方式,就是針對特定型號的D-Link無線基地臺已知漏洞而來,涵蓋CVE-2015-2051、CVE-2019-10891、CVE-2022-37056,以及CVE-2024-33112(CVSS風險評分皆達到9.8)。
攻擊者利用上述的已知漏洞,從而遠端濫用家庭網路管理協定(Home Network Administration Protocol,HNAP),於受害裝置執行任意程式碼。
這兩波攻擊行動何時發生?是否鎖定特定國家地區?研究人員指出Ficora攻擊來自2個荷蘭的IP位址,攻擊範圍遍及世界各地,因此他們推測攻擊者並未針對特定國家而來。
另一個殭屍網路Capsaicin的攻擊行動與Ficora相當不同,攻擊只發生兩天:10月21日、22日,而且,駭客僅有針對日本、臺灣下手。
針對Ficora的攻擊行動,攻擊者會先在受害裝置下載名為multi的Shell指令碼並執行,確認受害裝置的系統架構,然後下載對應版本的Ficora。一旦成功部署殭屍網路病毒,攻擊者就可能將其用來發動DDoS攻擊。此外,該殭屍網路病毒也具備掃描器的功能,因為研究人員在程式碼當中,發現一組寫死的帳號及密碼組合,可供駭客對其他設備的登入進行暴力破解。
而對於Capsaicin的攻擊過程,攻擊者也是利用特定的Shell指令碼來確認受害裝置架構,並部署對應版本的Capsaicin,然後從C2接收攻擊命令。
熱門新聞
2024-12-31
2024-12-31
2024-12-31
2024-12-31
2024-12-31
2024-12-31
2024-12-31