CAPSAICIN Botnet IOCs

botnet

Лаборатория FortiGuard Labs заметила всплеск активности двух различных бот-сетей в октябре и ноябре 2024 года: Kaiten «CAPSAICIN». Ботнет распространяется через уязвимости D-Link, позволяющие злоумышленникам выполнять вредоносные команды через интерфейс HNAP.

CAPSAICIN Botnet

Бот-сеть «CAPSAICIN» использует загрузчик скрипта оболочки «bins.sh», который загружает и выполняет вредоносную программу «CAPSAICIN» на различных архитектурах Linux.

«CAPSAICIN» был особенно активен в Восточной Азии.

Некоторые из уязвимостей, такие как CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 и CVE-2024-33112, уже известны уже почти десять лет.

Indicators of Compromise

URLs

  • http://87.10.220.221/bins.sh
  • http://87.10.220.221/yakuza.arm4
  • http://87.10.220.221/yakuza.arm5
  • http://87.10.220.221/yakuza.arm6
  • http://87.10.220.221/yakuza.arm7
  • http://87.10.220.221/yakuza.i586
  • http://87.10.220.221/yakuza.i686
  • http://87.10.220.221/yakuza.m68k
  • http://87.10.220.221/yakuza.mips
  • http://87.10.220.221/yakuza.mipsel
  • http://87.10.220.221/yakuza.ppc
  • http://87.10.220.221/yakuza.sh
  • http://87.10.220.221/yakuza.sparc
  • http://87.10.220.221/yakuza.x86
  • http://87.11.174.141/bins.sh
  • http://pirati.abuser.eu/yakuza.arm5
  • http://pirati.abuser.eu/yakuza.arm6
  • http://pirati.abuser.eu/yakuza.arm7
  • http://pirati.abuser.eu/yakuza.i586
  • http://pirati.abuser.eu/yakuza.i686
  • http://pirati.abuser.eu/yakuza.m68k
  • http://pirati.abuser.eu/yakuza.mips
  • http://pirati.abuser.eu/yakuza.mipsel
  • http://pirati.abuser.eu/yakuza.ppc
  • http://pirati.abuser.eu/yakuza.sparc
  • http://pirati.abuser.eu/yakuza.x86
  • http://pirati.abuser.eu/yakuza.yak.sh

SHA256

  • 1007f5613a91a5d4170f28e24bfa704c8a63d95a2b4d033ff2bff7e2fe3dcffe
  • 148f6b990fc1f1903287cd5c20276664b332dd3ba8d58f2bf8c26334c93c3af5
  • 1ca1d5a53c4379c3015c74af2b18c1d9285ac1a48d515f9b7827e4f900a61bde
  • 32e66b87f47245a892b102b7141d3845540b270c278e221f502807758a4e5dee
  • 4600703535e35b464f0198a1fa95e3668a0c956ab68ce7b719c28031d69b86ff
  • 464e2f1faab2a40db44f118f7c3d1f9b300297fe6ced83fabe87563fc82efe95
  • 540c00e6c0b53332128b605b0d5e0926db0560a541bb13448d094764844763df
  • 59704cf55b9fa439d6f7a36821a50178e9d73ddc5407ff340460c054d7defc54
  • 6e3ef9404817e168c974000205b27723bc93abd7fbf0581c16bb5d2e1c5c6e4a
  • 784c9711eadceb7fedf022b7d7f00cff7a75d05c18ff726e257602e3a3ccccc1
  • 7a815d4ca3771de8a71cde2bdacf951bf48ea5854eb0a2af5db7d13ad51c44ab
  • 7ab36a93f009058e60c8a45b900c1c7ae38c96005a43a39e45be9dc7af9d6da8
  • 7b29053306f194ca75021952f97f894d8eae6d2e1d02939df37b62d3845bfdb7
  • 803abfe19cdc6c0c41acfeb210a2361cab96d5926b2c43e5eb3b589a6ed189ad
  • 8349ba17f028b6a17aaa09cd17f1107409611a0734e06e6047ccc33e8ff669b0
  • aaa49b7b4f1e71623c42bc77bb7aa40534bcb7312da511b041799bf0e1a63ee7
  • b3ad8409d82500e790e6599337abe4d6edf5bd4c6737f8357d19edd82c88b064
  • b699cd64b9895cdcc325d7dd96c9eca623d3ec0247d20f39323547132c8fa63b
  • b74dbd02b7ebb51700f3c5900283e46570fe497f9b415d25a029623118073519
  • bde6ef047e0880ac7ef02e56eb87d5bc39116e98ef97a5b1960e9a55cea5082b
  • c7be8d1b8948e1cb095d46376ced64367718ed2d9270c2fc99c7052a9d1ffed7
  • d6a2a22000d68d79caeae482d8cf092c2d84d55dccee05e179a961c72f77b1ba
  • ec87dc841af77ec2987f3e8ae316143218e9557e281ca13fb954536aa9f9caf1
Комментарии: 0