Rabattilbud med flere licenser
Trusseldatabase Botnets Ballista Botnet

Ballista Botnet

Med Mezo i Botnets
Oversæt til:
Dansk

En ny botnet-kampagne kaldet Ballista er blevet identificeret, eksplicit rettet mod upatchede TP-Link Archer-routere. Cybersikkerhedsforskere har fundet ud af, at botnettet udnytter en Remote Code Execution (RCE)-sårbarhed – CVE-2023-1389 – til at sprede sig på tværs af internettet. Denne alvorlige fejl påvirker TP-Link Archer AX-21-routere, hvilket gør det muligt for angribere at udføre kommandoer eksternt og tage kontrol over enheden.

En tidslinje for udnyttelse

Beviser for aktiv udnyttelse går tilbage til april 2023, hvor ukendte trusselsaktører første gang brugte sårbarheden til at distribuere Mirai botnet-malware. Siden da er det blevet udnyttet til at sprede andre malware-stammer, herunder Condi og AndroxGh0st , hvilket yderligere øger dens rækkevidde og virkning.

Hvordan angrebet fungerer

Angrebssekvensen begynder med en malware-dropper - et shell-script kaldet 'dropbpb.sh' - som downloader og udfører en ondsindet binærfil på målrettede routere. Malwaren er designet til at køre på flere systemarkitekturer, inklusive MIPS, mipsel, armv5l, armv7l og x86_64. Når den er installeret, etablerer den en krypteret Command-and-Control (C2) kanal på port 82, hvilket gør det muligt for angribere at fjernstyre den inficerede enhed.

Ballista Botnets muligheder

Når først er inde i et system, gør Ballista det muligt for angribere at udføre en række kommandoer, herunder:

  • Flooder – Lancerer et oversvømmelsesbaseret denial-of-service (DoS) angreb.
  • Exploiter – Udnytter CVE-2023-1389 til at inficere yderligere routere.
  • Start – Starter udnyttermodulet.
  • Luk – Stopper udnyttelsesmodulet.
  • Shell – Udfører Linux-shell-kommandoer på det inficerede system.
  • Killall – Afslutter den kørende malware-tjeneste.

Derudover kan malwaren slette spor af sin egen tilstedeværelse og sprede sig autonomt ved at opsøge og udnytte sårbare enheder.

Tegn på en italiensk forbindelse

En analyse af Ballistas infrastruktur afslører et italiensk link. Malware-binære filer indeholder italienske sprogstrenge, og den oprindelige C2-server var hostet på 2.237.57.70, en italiensk IP-adresse. Men malwaren ser ud til at være under kontinuerlig udvikling, da nyere versioner nu bruger TOR-netværksdomæner i stedet for hårdkodede IP-adresser.

Global effekt: Tusindvis af routere i fare

En målrettet søgning tyder på, at over 6.000 enheder allerede er blevet påvirket af Ballista. De mest sårbare regioner omfatter Brasilien, Polen, Storbritannien, Bulgarien og Tyrkiet. På grund af dets aktive udvikling er dette botnet fortsat en betydelig trussel mod upatchede routere verden over.

Trending

Mest sete

Indlæser...