FortiGuard Labs观察到2024年10月和11月两个僵尸网络“FICORA”和“CAPSAICIN”的活动激增。FortiGuard Labs的威胁研究团队在其分享的博客文章中解释说，这些僵尸网络是著名的Mirai和Kaiten僵尸网络的变体，可以执行恶意命令。

进一步调查显示，这些僵尸网络的传播涉及利用D-Link漏洞，允许远程攻击者通过家庭网络管理协议(HNAP)接口上的GetDeviceSettings操作执行恶意命令。

这些漏洞包括CVE-2015-2051、CVE-2019-10891、CVE-2022-37056和CVE-2024-33112。这些CVE代表攻击者利用的D-Link路由器漏洞的具体实例。它们通常涉及HNAP处理用户输入和身份验证的方式的缺陷。攻击者使用HNAP接口来传播恶意软件，而这一弱点在近十年前首次暴露。

受影响的平台包括D-Link DIR-645有线/无线路由器Rev. Ax、D-Link DIR-806设备以及D-Link GO-RT-AC750 GORTAC750_revA_v101b03和GO-RT-AC750_revB_FWv200b02。根据FortiGuard Labs IPS遥测，僵尸网络的严重性级别较高，并通过较早的攻击进行传播。

FICORA僵尸网络是一种恶意软件，它针对多种Linux架构，并使用ChaCha20加密算法对其配置进行编码。此外，它的功能还包括暴力攻击功能，嵌入带有十六进制ASCII字符的shell脚本以识别和杀死其他恶意软件进程，以及使用UDP、TCP和DNS等协议的DDoS攻击功能。

根据FortiGuard实验室威胁研究团队的博客文章，该僵尸网络下载了一个名为“multi”的shell脚本，该脚本使用wget、ftpget、curl和tftp等各种方法来下载实际的恶意软件。

FICORA僵尸网络攻击针对全球多个国家，由来自荷兰服务器的攻击者触发。另一方面，与FICORA不同的是，CAPSAICIN攻击仅在2024年10月21日至22日两天内活跃，并且针对东亚国家。

然而，与FICORA一样，它也表现出多样化的功能，包括下载名为“bins.sh”的shell脚本、针对多种Linux架构、终止已知的僵尸网络进程、与其C2服务器建立连接、发送受害者主机信息以及提供DDoS攻击功能。

尽管此次攻击中利用的漏洞已为人所知近十年，但这些攻击仍然很普遍，令人担忧。尽管如此，为了降低D-Link设备被僵尸网络攻击的风险，建议定期更新固件并保持全面的网络监控。

FortiGuard实验室的研究员Vincent Li总结道：“FortiGuard实验室发现‘FICORA’和‘CAPSAICIN’通过此漏洞传播。因此，对于每个企业来说，定期更新设备内核并保持全面监控至关重要。”