僵尸网络活动增加

：新的“FICORA”和“CAPSAICIN”僵尸网络（Mirai 和 Kaiten 的变体）的活动激增。

被利用的漏洞

：攻击者利用已知的 D-Link 路由器漏洞（例如 CVE-2015-2051、CVE-2024-33112）来执行恶意命令。

僵尸网络功能

：两种僵尸网络都使用 shell 脚本，以 Linux 系统为目标，杀死恶意软件进程，并进行 DDoS 攻击。

全球影响

：FICORA 针对多个国家，而 CAPSAICIN 专注于东亚，东亚的活动持续了两天多。

缓解措施

：建议定期更新固件和强大的网络监控，以防止漏洞利用。

FortiGuard Labs 观察到，“FICORA”和“CAPSAICIN”这两个僵尸网络在 2024 年 10 月和 11 月的活动激增。FortiGuard Labs 的威胁研究团队在其与 Hackread.com 独家分享的博客文章中解释说，这些僵尸网络是著名的 Mirai 和 Kaiten 僵尸网络的变体，可以执行恶意命令。

进一步的调查显示，这些僵尸网络的分发涉及利用 D-Link 漏洞，这些漏洞允许远程攻击者通过家庭网络管理协议 （HNAP） 接口上的 GetDeviceSettings 操作执行恶意命令。

这些漏洞包括 CVE-2015-2051、CVE-2019-10891、CVE-2022-37056 和 CVE-2024-33112。这些 CVE 代表攻击者利用的 D-Link 路由器中的特定漏洞实例。它们通常涉及 HNAP 处理用户输入和身份验证方式的缺陷。攻击者使用 HNAP 接口来传播恶意软件，而这一弱点在近十年前首次暴露出来。

受影响的平台包括 D-Link DIR-645 有线/无线路由器 Rev. Ax、D-Link DIR-806 设备以及 D-Link GO-RT-AC750 GORTAC750_revA_v101b03 和 GO-RT-AC750_revB_FWv200b02。根据 FortiGuard Labs IPS 遥测数据，该僵尸网络具有很高的威胁级别，并通过较旧的攻击方式进行传播。

FICORA 僵尸网络是一种恶意软件，它以多种 Linux 架构为目标，并使用 ChaCha20 加密算法对其配置进行加密。此外，它的功能还包括暴力破解，嵌入带有十六进制 ASCII 字符的 shell 脚本以识别和杀死其他恶意软件进程，以及使用 UDP、TCP 和 DNS 等协议的 DDoS 攻击功能。

根据 FortiGuard Labs 威胁研究团队的博客文章，这个僵尸网络会下载一个名为“multi”的 shell 脚本，该脚本使用包括 wget、ftpget、curl 和 tftp 在内的各种方法来下载实际的恶意软件。

使用 “curl” 命令的下载器脚本 “multi” 

FICORA 僵尸网络攻击针对全球许多国家，由来自荷兰的攻击者触发。但与 FICORA 不同的是，CAPSAICIN 攻击仅在 2024 年 10 月 21 日至 22 日的两天内非常活跃，并以东亚国家为目标。

然而，与 FICORA 一样，它也展示了多种功能，包括下载名为“bins.sh”的 shell 脚本、针对多个 Linux 架构、杀死已知的僵尸网络进程、与其 C2 服务器建立连接、发送受害者主机信息以及提供 DDoS 攻击功能。

尽管这种攻击中利用的漏洞已经为人所知近十年，但这些攻击仍然普遍存在，这令人担忧。尽管如此，为了降低 D-Link 设备被僵尸网络入侵的风险，建议定期更新固件并保持全面的网络监控。