Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Botnets Ballista Botnet

Ballista Botnet

El Mezo el Botnets
Traduir a:
Català

S'ha identificat una nova campanya de botnet anomenada Ballista, orientada explícitament als encaminadors TP-Link Archer sense pegats. Els investigadors de ciberseguretat han descobert que la botnet aprofita una vulnerabilitat d'execució de codi remota (RCE) —CVE-2023-1389— per propagar-se per Internet. Aquest defecte d'alta gravetat afecta els encaminadors TP-Link Archer AX-21, permetent als atacants executar ordres de forma remota i prendre el control del dispositiu.

Una cronologia de l'explotació

L'evidència d'explotació activa es remunta a l'abril de 2023, quan actors d'amenaces desconeguts van utilitzar per primera vegada la vulnerabilitat per distribuir programari maliciós de botnet de Mirai . Des de llavors, s'ha aprofitat per difondre altres varietats de programari maliciós, com Condi i AndroxGh0st , augmentant encara més el seu abast i impacte.

Com funciona l'atac

La seqüència d'atac comença amb un dropper de programari maliciós, un script d'intèrpret d'ordres anomenat 'dropbpb.sh', que baixa i executa un binari maliciós als encaminadors objectiu. El programari maliciós està dissenyat per executar-se en diverses arquitectures de sistemes, com ara MIPS, mipsel, armv5l, armv7l i x86_64. Un cop instal·lat, estableix un canal de comandament i control (C2) xifrat al port 82, que permet als atacants controlar de forma remota el dispositiu infectat.

Capacitats de la botnet Ballista

Un cop dins d'un sistema, Ballista permet als atacants executar una sèrie d'ordres, com ara:

  • Flooder : llança un atac de denegació de servei (DoS) basat en inundacions.
  • Explotador : explota CVE-2023-1389 per infectar encaminadors addicionals.
  • Inici : inicia el mòdul explotador.
  • Tanca : atura el mòdul d'explotació.
  • Shell : executa les ordres de l'intèrpret d'ordres de Linux al sistema infectat.
  • Killall : finalitza el servei de programari maliciós en execució.

A més, el programari maliciós pot esborrar rastres de la seva pròpia presència i propagar-se de manera autònoma buscant i explotant dispositius vulnerables.

Signes d'una connexió italiana

Una anàlisi de la infraestructura de Ballista revela un vincle italià. Els binaris de programari maliciós contenen cadenes en idioma italià i el servidor C2 inicial estava allotjat a 2.237.57.70, una adreça IP italiana. Tanmateix, sembla que el programari maliciós està en desenvolupament continu, ja que les versions més noves ara utilitzen dominis de xarxa TOR en lloc d'adreces IP codificades.

Impacte global: milers d'encaminadors en risc

Una cerca dirigida suggereix que Ballista ja ha afectat més de 6.000 dispositius. Les regions més vulnerables inclouen el Brasil, Polònia, el Regne Unit, Bulgària i Turquia. Atesa la seva evolució activa, aquesta botnet continua sent una amenaça important per als encaminadors sense pegats de tot el món.

Tendència

Més vist

Carregant...