عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد شبكات الروبوتات شبكة بوتنت باليستا

شبكة بوتنت باليستا

بواسطة Mezo في شبكات الروبوتات
ترجمة الى:
العربية

تم رصد حملة بوت نت جديدة تُسمى "باليستا"، تستهدف بشكل مباشر أجهزة توجيه TP-Link Archer غير المرقعة. وقد اكتشف باحثو الأمن السيبراني أن هذه الشبكة تستغل ثغرة تنفيذ التعليمات البرمجية عن بُعد (RCE) - CVE-2023-1389 - للانتشار عبر الإنترنت. تؤثر هذه الثغرة شديدة الخطورة على أجهزة توجيه TP-Link Archer AX-21، مما يسمح للمهاجمين بتنفيذ الأوامر عن بُعد والتحكم في الجهاز.

جدول زمني للاستغلال

يعود تاريخ استغلال هذه الثغرة إلى أبريل 2023، عندما استغلها جهات تهديد مجهولة لنشر برمجيات خبيثة من نوع ميراي بوت نت. ومنذ ذلك الحين، استُخدمت هذه الثغرة لنشر سلالات أخرى من البرمجيات الخبيثة، بما في ذلك كوندي وأندروكس غوست ، مما زاد من نطاقها وتأثيرها.

كيف يعمل الهجوم

يبدأ تسلسل الهجوم ببرنامج ضار - وهو نص برمجي يُسمى "dropbpb.sh" - يُنزّل ويُنفّذ ملفًا ثنائيًا ضارًا على أجهزة التوجيه المُستهدفة. صُمّم البرنامج الخبيث للعمل على بنى أنظمة متعددة، بما في ذلك MIPS وmipsel وarmv5l وarmv7l وx86_64. بمجرد تثبيته، يُنشئ قناة قيادة وتحكم (C2) مُشفّرة على المنفذ 82، مما يسمح للمهاجمين بالتحكم عن بُعد في الجهاز المُصاب.

قدرات شبكة بوتنت باليستا

بمجرد دخول Ballista إلى النظام، فإنه يتيح للمهاجمين تنفيذ مجموعة من الأوامر، بما في ذلك:

  • Flooder – يطلق هجوم رفض الخدمة (DoS) القائم على الفيضانات.
  • المستغل – يستغل CVE-2023-1389 لإصابة أجهزة توجيه إضافية.
  • البدء – يقوم ببدء تشغيل وحدة الاستغلال.
  • إغلاق – إيقاف وحدة الاستغلال.
  • Shell – تنفيذ أوامر Shell Linux على النظام المصاب.
  • Killall – يقوم بإنهاء خدمة البرامج الضارة قيد التشغيل.

بالإضافة إلى ذلك، يمكن للبرامج الضارة محو آثار وجودها والانتشار بشكل مستقل عن طريق البحث عن الأجهزة الضعيفة واستغلالها.

علامات على وجود صلة إيطالية

يكشف تحليل البنية التحتية لبرنامج باليستا عن وجود صلة إيطالية. تحتوي ملفات البرامج الضارة الثنائية على سلاسل باللغة الإيطالية، وكان خادم C2 الأصلي مُستضافًا على عنوان IP إيطالي 2.237.57.70. ومع ذلك، يبدو أن البرنامج الخبيث قيد التطوير المستمر، حيث تستخدم الإصدارات الأحدث نطاقات شبكة TOR بدلاً من عناوين IP المُشفرة.

التأثير العالمي: آلاف أجهزة التوجيه معرضة للخطر

يشير بحث مُستهدف إلى أن أكثر من 6000 جهاز قد تأثر بـ Ballista. وتشمل المناطق الأكثر عُرضةً للخطر البرازيل وبولندا والمملكة المتحدة وبلغاريا وتركيا. ونظرًا لتطورها النشط، لا تزال هذه الشبكة من البوت نت تُشكل تهديدًا كبيرًا لأجهزة التوجيه غير المُرقعة حول العالم.

الشائع

PayPal - لقد أضفت عنوانًا جديدًا عبر البريد الإلكتروني

التصيد الاحتيالي, رسائل إلكترونية مزعجة
إن العالم الرقمي مليء بالمخططات الخادعة المصممة للتلاعب بالمستخدمين لحملهم على الكشف عن معلومات حساسة أو تثبيت برامج غير آمنة. وكثيراً ما ينتحل مجرمو الإنترنت هوية شركات معروفة، مثل PayPal، لجعل عمليات الاحتيال التي يقومون بها تبدو ذات مصداقية. ومن بين هذه الحملات الاحتيالية، المعروفة باسم عملية الاحتيال "PayPal - You Added A New Address"، خداع المستخدمين وإقناعهم بأن حساباتهم قد تعرضت...

الأكثر مشاهدة

جار التحميل...