FortiGuard รายงานการโจมตีจากมัลแวร์บ็อตเน็ตสองตัว คือ Ficora และ Capsaicin ซึ่งใช้ช่องโหว่ในโปรโตคอลการจัดการเครือข่ายภายในบ้าน โดยช่องโหว่ที่ถูกใช้งานได้แก่ CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 และ CVE-2024-33112 โดยการโจมตีส่งผลกระทบต่อเราเตอร์ D-Link รุ่นต่างๆ ได้แก่
- DIR-645
- DIR-806
- GO-RT-AC750
- DIR-845L
มัลแวร์ Ficora เริ่มการโจมตีจากเซิร์ฟเวอร์ในเนเธอร์แลนด์ และมีเป้าหมายในระบบเครือข่ายทั่วโลก โดย Ficora เป็นมัลแวร์สายพันธุ์หนึ่งของ Mariant และใช้สคริปต์เชลล์ที่ชื่อว่า “multi” เพื่อดาวน์โหลดมัลแวร์เพิ่มเติมที่รองรับสถาปัตยกรรม Linux เช่น ARM และ PowerPC นอกจากนี้ยังใช้การเข้ารหัส ChaCha20 เพื่อปกปิดการตั้งค่า เช่น โดเมนเซิร์ฟเวอร์ควบคุมและพารามิเตอร์การโจมตี มัลแวร์ยังดำเนินการโจมตีแบบ Brute Force ด้วยการใช้รายการชื่อผู้ใช้และรหัสผ่านที่ฝังไว้ พร้อมทั้งปิดการทำงานของมัลแวร์คู่แข่ง เช่น dvrHelper
ส่วนมัลแวร์ Capsaicin เป็นสายพันธุ์หนึ่งของ Kaiten โดยมีการโจมตีที่กระจุกตัวอยู่ในเอเชียตะวันออก Capsaicin ดาวน์โหลดและรันไฟล์ไบนารี เช่น yakuza.x86 ที่มุ่งเป้าหมายไปยังหลายสถาปัตยกรรม เมื่อทำงานแล้ว มันจะสื่อสารกับเซิร์ฟเวอร์ C2 เพื่อส่งข้อมูลเกี่ยวกับระบบปฏิบัติการของเหยื่อและดำเนินคำสั่งโจมตี
นักวิจัยพบว่ามัลแวร์ตัวนี้ยังสามารถปิดการทำงานของบ็อตเน็ตคู่แข่งบางตัวได้อีกด้วย Capsaicin มีฟีเจอร์ที่ซับซ้อน เช่น คำสั่ง DDoS และเมนูช่วยเหลือสำหรับผู้โจมตี ซึ่งบ่งบอกถึงการพัฒนาโดยกลุ่ม Keksec ที่เชี่ยวชาญด้านบ็อตเน็ต
FortiGuard Labs แนะนำให้ผู้ใช้งานเราเตอร์ตรวจสอบการตั้งค่าความปลอดภัย อัปเดตเฟิร์มแวร์ล่าสุด และหลีกเลี่ยงการใช้ชื่อผู้ใช้-รหัสผ่านที่ง่ายต่อการคาดเดา เพื่อป้องกันการตกเป็นเหยื่อของการโจมตีในครั้งนี้
อ่านเพิ่มเติมที่นี่ – BIS
