Peneliti keamanan siber memperingatkan tentang lonjakan aktivitas jahat yang melibatkan pengikatan router D-Link yang rentan ke dalam dua botnet berbeda, varian Mirai yang dijuluki FICORA dan varian Kaiten (alias Tsunami) yang disebut CAPSAICIN.
“Botnet ini sering menyebar melalui kerentanan D-Link yang terdokumentasi yang memungkinkan penyerang jarak jauh mengeksekusi perintah berbahaya melalui tindakan GetDeviceSettings pada antarmuka HNAP (Home Network Administration Protocol),” kata peneliti Fortinet FortiGuard Labs, Vincent Li dalam analisisnya pada hari Kamis.
“Kelemahan HNAP ini pertama kali terungkap hampir satu dekade lalu, dengan banyak perangkat terpengaruh oleh berbagai nomor CVE, termasuk CVE-2015-2051, CVE-2019-10891, CVE-2022-37056, dan CVE-2024-33112.”
Menurut data telemetri perusahaan keamanan siber tersebut, serangan yang melibatkan FICORA telah menargetkan berbagai negara secara global, sedangkan serangan yang terkait dengan CAPSAICIN terutama menargetkan wilayah Asia Timur seperti Jepang dan Taiwan. Aktivitas CAPSAICIN pun disebut-sebut “intens” aktif hanya antara tanggal 21 hingga 22 Oktober 2024.
Serangan botnet FICORA menyebabkan penyebaran skrip shell pengunduh (“multi”) dari server jarak jauh (“103.149.87[.]69”), yang kemudian melanjutkan mengunduh payload utama untuk arsitektur Linux yang berbeda secara terpisah menggunakan perintah wget, ftpget, curl, dan tftp.
Hadir dalam malware botnet adalah fungsi serangan brute force yang berisi daftar nama pengguna dan kata sandi yang dikodekan secara keras. Turunan Mirai juga mengemas fitur untuk melakukan serangan penolakan layanan terdistribusi (DDoS) menggunakan protokol UDP, TCP, dan DNS.
Skrip pengunduh (“bins.sh”) untuk CAPSAICIN memanfaatkan alamat IP yang berbeda (“87.10.220[.]221”), dan mengikuti pendekatan yang sama untuk mengambil botnet untuk berbagai arsitektur Linux guna memastikan kompatibilitas maksimum.
“Malware ini membunuh proses botnet yang diketahui untuk memastikan bahwa itu adalah satu-satunya botnet yang dieksekusi pada host korban,” kata Li. “'CAPSAICIN' membuat soket koneksi dengan server C2-nya, '192.110.247[.]46,' dan mengirimkan informasi OS host korban dan nama panggilan yang diberikan oleh malware kembali ke server C2.”
CAPSAICIN kemudian menunggu perintah lebih lanjut untuk dieksekusi pada perangkat yang disusupi, termasuk “PRIVMSG”, sebuah perintah yang dapat digunakan untuk melakukan berbagai operasi berbahaya seperti berikut –
- GETIP – Dapatkan alamat IP dari antarmuka
- CLEARHISTORY – Hapus riwayat perintah
- FASTFLUX – Mulai proxy ke port pada IP lain ke antarmuka
- RNDNICK – Mengacak nama panggilan host korban
- NICK – Mengubah nama panggilan host korban
- SERVER – Ubah server perintah dan kontrol
- AKTIFKAN – Aktifkan bot
- MEMBUNUH – Hentikan sesi
- DAPATKAN – Unduh file
- VERSION – Meminta versi host korban
- IRC – Meneruskan pesan ke server
- SH – Jalankan perintah shell
- ISH – Berinteraksi dengan shell host korban
- SHD – Jalankan perintah shell dan abaikan sinyal
- INSTALL – Unduh dan instal biner ke “/var/bin”
- BASH – Jalankan perintah menggunakan bash
- BINUPDATE – Perbarui biner ke “/var/bin” melalui get
- LOCKUP – Bunuh backdoor Telnet dan jalankan malware sebagai gantinya
- BANTUAN – Menampilkan informasi bantuan tentang malware
- STD – Serangan banjir dengan string hard-code acak untuk nomor port dan target yang ditentukan oleh penyerang
- UNKNOWN – Serangan banjir UDP dengan karakter acak untuk nomor port dan target yang ditentukan oleh penyerang
- HTTP – Serangan banjir HTTP.
- TAHAN – Serangan banjir koneksi TCP.
- JUNK – Serangan banjir TCP.
- BLACKNURSE – Serangan BlackNurse, yang didasarkan pada serangan banjir paket ICMP
- DNS – Serangan banjir amplifikasi DNS
- KILLALL – Hentikan semua serangan DDoS
- KILLMYEYEPEEUSINGHOIC – Hentikan malware asli
“Meskipun kelemahan yang dieksploitasi dalam serangan ini telah terungkap dan diperbaiki hampir satu dekade lalu, serangan ini tetap aktif di seluruh dunia,” kata Li. “Sangat penting bagi setiap perusahaan untuk memperbarui kernel perangkat mereka secara berkala dan mempertahankan pemantauan yang komprehensif.”
