Slevová nabídka pro více licencí
Databáze hrozeb Botnety Botnet Ballista

Botnet Ballista

V roce Mezo v roce Botnety
Přeložit do:
Čeština

Byla identifikována nová botnetová kampaň nazvaná Ballista, která se výslovně zaměřuje na neopravené routery TP-Link Archer. Výzkumníci v oblasti kybernetické bezpečnosti zjistili, že botnet využívá zranitelnost vzdáleného spuštění kódu (RCE) – CVE-2023-1389 – k šíření po internetu. Tato velmi závažná chyba postihuje routery TP-Link Archer AX-21 a umožňuje útočníkům provádět příkazy na dálku a převzít kontrolu nad zařízením.

Časová osa vykořisťování

Důkazy o aktivním zneužívání pocházejí z dubna 2023, kdy neznámí aktéři hrozeb poprvé použili tuto zranitelnost k distribuci malwaru botnetu Mirai . Od té doby se využívá k šíření dalších kmenů malwaru, včetně Condi a AndroxGh0st , a dále zvyšuje jeho dosah a dopad.

Jak útok funguje

Sekvence útoku začíná dropperem malwaru – skriptem shellu s názvem „dropbpb.sh“ – který stáhne a spustí škodlivý binární soubor na cílených směrovačích. Malware je navržen tak, aby běžel na více systémových architekturách, včetně MIPS, mipsel, armv5l, armv7l a x86_64. Po instalaci vytvoří na portu 82 šifrovaný kanál Command-and-Control (C2), který útočníkům umožní vzdáleně ovládat infikované zařízení.

Schopnosti botnetu Ballista

Jakmile se Ballista dostane do systému, umožňuje útočníkům provádět řadu příkazů, včetně:

  • Flooder – Spustí útok typu DoS (Denial-of-service).
  • Exploiter – Využije CVE-2023-1389 k infikování dalších routerů.
  • Start – Spustí modul exploiter.
  • Zavřít – Zastaví exploit modul.
  • Shell – Provádí příkazy prostředí Linux na infikovaném systému.
  • Killall – Ukončí běžící malwarovou službu.

Kromě toho může malware vymazat stopy své vlastní přítomnosti a šířit se autonomně vyhledáním a zneužitím zranitelných zařízení.

Známky italského spojení

Analýza infrastruktury Ballisty odhaluje italské spojení. Binární soubory malwaru obsahují řetězce italského jazyka a počáteční server C2 byl hostován na adrese 2.237.57.70, italská IP adresa. Zdá se však, že malware prochází neustálým vývojem, protože novější verze nyní místo pevně zakódovaných IP adres používají síťové domény TOR.

Globální dopad: Tisíce routerů v ohrožení

Cílené vyhledávání naznačuje, že Ballista již ovlivnilo více než 6 000 zařízení. Mezi nejzranitelnější regiony patří Brazílie, Polsko, Spojené království, Bulharsko a Turecko. Vzhledem ke svému aktivnímu vývoji zůstává tento botnet významnou hrozbou pro neopravené směrovače po celém světě.

Trendy

PayPal – Přidali jste e-mailový podvod s novou adresou

Phishing, Spam
Digitální svět je plný podvodných schémat navržených tak, aby manipulovaly s uživateli, aby poskytli citlivé informace nebo instalovali nebezpečný software. Kyberzločinci se často vydávají za známé společnosti, jako je PayPal, aby jejich podvody vypadaly důvěryhodně. Jedna taková podvodná kampaň, známá jako podvod „PayPal – přidali jste novou adresu“, klame uživatele, aby uvěřili, že jejich...

Nejvíce shlédnuto

Načítání...