Ballista Botnet
Беше идентифицирана нова ботнет кампания, наречена Ballista, изрично насочена към рутери на TP-Link Archer без корекция. Изследователите на киберсигурността са открили, че ботнетът се възползва от уязвимостта на Remote Code Execution (RCE) — CVE-2023-1389 — за разпространение в интернет. Този недостатък с висока степен на сериозност засяга рутерите TP-Link Archer AX-21, позволявайки на атакуващите да изпълняват команди от разстояние и да поемат контрола над устройството.
Съдържание
Хронология на експлоатацията
Доказателствата за активно използване датират от април 2023 г., когато неизвестни заплахи за първи път са използвали уязвимостта, за да разпространяват зловреден софтуер за ботнет Mirai . Оттогава той се използва за разпространение на други щамове злонамерен софтуер, включително Condi и AndroxGh0st , като допълнително увеличава обхвата и въздействието си.
Как работи атаката
Последователността от атаки започва с капкомер на злонамерен софтуер – скрипт на обвивка, наречен „dropbpb.sh“ – който изтегля и изпълнява злонамерен двоичен файл на целевите рутери. Зловреден софтуер е проектиран да работи на множество системни архитектури, включително MIPS, mipsel, armv5l, armv7l и x86_64. Веднъж инсталиран, той установява криптиран канал за командване и управление (C2) на порт 82, позволявайки на атакуващите да контролират отдалечено заразеното устройство.
Възможностите на Ballista Botnet
Веднъж попаднали в системата, Ballista позволява на нападателите да изпълнят набор от команди, включително:
- Flooder – Стартира базирана на наводнение атака за отказ на услуга (DoS).
- Експлоататор – използва CVE-2023-1389 за заразяване на допълнителни рутери.
- Старт – Инициира модула за експлоатация.
- Затваряне – Спира експлойт модула.
- Shell – Изпълнява команди на Linux shell на заразената система.
- Killall – Прекратява работещата услуга за зловреден софтуер.
Освен това зловредният софтуер може да изтрие следи от собственото си присъствие и да се разпространи автономно, като търси и използва уязвими устройства.
Признаци на италианска връзка
Анализът на инфраструктурата на Ballista разкрива италианска връзка. Двоичните файлове на зловреден софтуер съдържат низове на италиански език, а първоначалният C2 сървър беше хостван на 2.237.57.70, италиански IP адрес. Изглежда обаче, че зловредният софтуер е в процес на непрекъснато развитие, тъй като по-новите версии вече използват мрежови домейни TOR вместо твърдо кодирани IP адреси.
Глобално въздействие: Хиляди рутери в риск
Целенасоченото търсене предполага, че над 6000 устройства вече са били засегнати от Ballista. Най-уязвимите региони включват Бразилия, Полша, Обединеното кралство, България и Турция. Като се има предвид активното му развитие, този ботнет остава значителна заплаха за рутерите без корекции по целия свят.
