D-Link

Ficora」と「Capsaicin」として追跡されている2つのボットネットが、寿命に達した、または古いファームウェアバージョンを実行しているD-Linkルーターを標的とした活動の増加を記録した。

ターゲットのリストには、DIR-645、DIR-806、GO-RT-AC750、DIR-845Lなど、個人や組織で使用されている一般的なD-Linkデバイスが含まれています。

初期アクセスのために、2つのマルウェアはCVE-2015-2051、CVE-2019-10891、CVE-2022-37056、およびCVE-2024-33112の既知のエクスプロイトを使用します。

デバイスが侵害されると、攻撃者はD-Linkの管理インターフェース(HNAP)の弱点を活用し、GetDeviceSettingsアクションを通じて悪意のあるコマンドを実行します。

ボットネットはデータを盗んだり、シェルスクリプトを実行したりします。攻撃者は、分散型サービス拒否(DDoS)目的でデバイスを危険にさらしているようです。

Ficoraは、日本と米国を中心に、地理的に広く分布しています。Capsaicinは、主に東アジア諸国のデバイスを標的としているようで、10月21日からわずか2日間だけ活動を活発化させました。

Ficoraボットネット

FicoraはMiraiボットネットの新しい亜種で、特にD-Linkデバイスの欠陥を悪用するように適合されている。

フォーティネットの遠隔測定データによると、このボットネットはランダムな標的を示し、10月と11月の2回、活動が顕著に急増しました。

Location of devices infected by Ficora
Ficora に感染したデバイスの場所
出典:Ficora:フォーティネット

Ficoraは、D-Linkデバイスで初期アクセスを獲得した後、「multi」という名前のシェルスクリプトを使用して、wgetcurlftpgettftpなどの複数の方法を通じてペイロードをダウンロードし、実行します。

このマルウェアには、追加のLinuxベースのデバイスを感染させるためにハードコードされた認証情報を持つブルートフォースコンポーネントが組み込まれており、複数のハードウェアアーキテクチャをサポートしています。

Ficora's brute-forcing function
Ficora のブルートフォース機能
ソースはこちら:フォーティネット

DDoS機能については、UDPフラッディング、TCPフラッディング、DNS増幅をサポートし、攻撃の威力を最大化します。

Capsaicinボットネット

Capsaicinは、Kaitenボットネットの亜種であり、Linuxデバイスを標的とする「EnemyBot」やその他のマルウェア・ファミリーで知られるKeksecグループによって開発されたマルウェアであると考えられています。

フォーティネットがこのマルウェアを観測したのは、10月21日から22日にかけて、主に東アジア諸国を標的とした一連の攻撃においてのみでした。

感染はダウンローダースクリプト(「bins.sh」)を介して発生し、arm、mips、sparc、x86など、さまざまなアーキテクチャ用の接頭辞「yakuza」を持つバイナリを取得します。

このマルウェアは、同じホスト上でアクティブになっている他のボットネットのペイロードを積極的に探し、それらを無効にします。

Names of other botnet malware Capsaicin disables.
他のボットネット・マルウェアの名前 Capsaicin disables
ソースはこちら:フォーティネット

Ficoraの機能を反映したDDoS機能とは別に、Capsaicinはホスト情報を収集し、それをコマンド&コントロール(C2)サーバに流出させて追跡することもできます。

Capsaicin DDoS commands
Capsaicin DDoSコマンド
ソースはこちら:フォーティネット

ボットネットに対する防御

ルーターや IoT デバイスのボットネット・マルウェア感染を防ぐ方法のひとつは、既知の脆弱性に対処した最新のファームウェア・バージョンを実行していることを確認することだ。

デバイスが耐用年数を迎え、セキュリティ・アップデートを受け取れなくなった場合は、新しいモデルに交換する必要がある。

一般的なアドバイスとしては、デフォルトの管理者認証情報をユニークで強力なパスワードに置き換え、必要なければリモート・アクセス・インターフェースを無効にする必要がある。