Главная страница » IOC
0
3 месяца
IOC

FICORA Botnet IOCs

botnet

Лаборатория FortiGuard Labs обнаружила резкий рост активности двух различных ботнета FICORA, в октябре и ноябре 2024 года. Ботнет используют уязвимости в устройствах D-Link, чтобы запускать вредоносные команды через протокол HNAP (Home Network Administration Protocol). Некоторые из уязвимостей, такие как CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 и CVE-2024-33112, уже известны уже почти десять лет.

FICORA Botnet

Злоумышленники, распространяющие бот-сеть «FICORA», провели атаку из серверов в Нидерландах. При этом атаки были направлены на множество стран по всему миру, что указывает на их массовый характер без конкретной цели.

Бот-сеть «FICORA» использует скрипт-загрузчик под названием «multi», который выполняет вредоносные программы различных архитектур Linux. Для кодирования своей конфигурации, «FICORA» использует алгоритм шифрования ChaCha20. Также установлены жестко закодированные имена пользователя и пароли для атаки грубой силой. Что касается «CAPSAICIN», загрузчик этой бот-сети выполняет вредоносную программу с префиксным именем файла «yakuza», которая нацелена на различные архитектуры Linux.

Ботнет представляют угрозу зараженным устройствам и сетям, а также могут использоваться для проведения атак типа DDoS с использованием различных протоколов, таких как UDP, TCP и DNS.

Indicators of Compromise

URLs

  • http://103.149.87.69/la.bot.arc
  • http://103.149.87.69/la.bot.arm
  • http://103.149.87.69/la.bot.arm5
  • http://103.149.87.69/la.bot.arm6
  • http://103.149.87.69/la.bot.arm7
  • http://103.149.87.69/la.bot.m68k
  • http://103.149.87.69/la.bot.mips
  • http://103.149.87.69/la.bot.mipsel
  • http://103.149.87.69/la.bot.powerpc
  • http://103.149.87.69/la.bot.sh4
  • http://103.149.87.69/la.bot.sparc
  • http://103.149.87.69/multi

SHA256

  • 10d7aedc963ea77302b967aad100d7dd90d95abcdb099c5a0a2df309c52c32b8
  • 764a03bf28f9eec50a1bd994308e977a64201fbe5d41337bdcc942c74861bcd3
  • 7f6912de8bef9ced5b9018401452278570b4264bb1e935292575f2c3a0616ec4
  • 9b161a32d89f9b19d40cd4c21d436c1daf208b5d159ffe1df7ad5fd1a57610e5
  • a06fd0b8936f5b2370db5f7ec933d53bd8a1bf5042cdc5c052390d1ecc7c0e07
  • ac2df391ede03df27bcf238077d2dddcde24cd86f16202c5c51ecd31b7596a68
  • afee245b6f999f6b9d0dd997436df5f2abfb3c8d2a8811ff57e3c21637207d62
  • ca3f6dce945ccad5a50ea01262b2d42171f893632fc5c5b8ce4499990e978e5b
  • df176fb8cfbc7512c77673f862e73833641ebb0d43213492c168f99302dcd5e3
  • ec508df7cb142a639b0c33f710d5e49c29a5a578521b6306bee28012aadde4a8
  • faeea9d5091384195e87caae9dd88010c9a2b3b2c88ae9cac8d79fd94f250e9f
Комментарии: 0
Похожие записи