قیمت چند مجوز تخفیف
پایگاه داده تهدید بات نت ها بات نت بالیستا

بات نت بالیستا

تا Mezo در بات نت ها
ترجمه به:
فارسی

یک کمپین بات نت جدید با نام Ballista شناسایی شده است که به صراحت روترهای TP-Link Archer اصلاح نشده را هدف قرار می دهد. محققان امنیت سایبری دریافته‌اند که بات‌نت از آسیب‌پذیری Remote Code Execution (RCE) -CVE-2023-1389- برای انتشار در اینترنت استفاده می‌کند. این نقص با شدت بالا روترهای TP-Link Archer AX-21 را تحت تأثیر قرار می دهد و به مهاجمان اجازه می دهد دستورات را از راه دور اجرا کنند و کنترل دستگاه را در دست بگیرند.

جدول زمانی بهره برداری

شواهد بهره برداری فعال به آوریل 2023 برمی گردد، زمانی که عوامل تهدید ناشناخته برای اولین بار از این آسیب پذیری برای توزیع بدافزار بات نت Mirai استفاده کردند. از آن زمان، از آن برای گسترش سایر گونه‌های بدافزار، از جمله Condi و AndroxGh0st استفاده شده است، که دسترسی و تأثیر آن را بیشتر می‌کند.

حمله چگونه کار می کند

توالی حمله با یک dropper بدافزار - یک اسکریپت پوسته به نام 'dropbpb.sh' - که یک باینری مخرب را در روترهای هدف دانلود و اجرا می کند آغاز می شود. این بدافزار برای اجرا بر روی چندین معماری سیستم از جمله MIPS، mipsel، armv5l، armv7l و x86_64 طراحی شده است. پس از نصب، یک کانال فرمان و کنترل (C2) رمزگذاری شده در پورت 82 ایجاد می کند که به مهاجمان اجازه می دهد دستگاه آلوده را از راه دور کنترل کنند.

قابلیت های بات نت Ballista

پس از ورود به یک سیستم، Ballista مهاجمان را قادر می سازد تا طیف وسیعی از دستورات را اجرا کنند، از جمله:

  • Flooder - یک حمله انکار سرویس (DoS) مبتنی بر سیل را راه اندازی می کند.
  • Exploiter – از CVE-2023-1389 برای آلوده کردن روترهای اضافی بهره برداری می کند.
  • شروع – ماژول بهره بردار را راه اندازی می کند.
  • بستن - ماژول بهره برداری را متوقف می کند.
  • Shell – دستورات پوسته لینوکس را روی سیستم آلوده اجرا می کند.
  • Killall – سرویس بدافزار در حال اجرا را خاتمه می دهد.

علاوه بر این، بدافزار می‌تواند با جستجو و بهره‌برداری از دستگاه‌های آسیب‌پذیر، آثار حضور خود را پاک کرده و به‌طور مستقل منتشر شود.

نشانه های اتصال ایتالیایی

تجزیه و تحلیل زیرساخت های Ballista یک پیوند ایتالیایی را نشان می دهد. باینری های بدافزار حاوی رشته های زبان ایتالیایی هستند و سرور C2 اولیه در 2.237.57.70 میزبانی می شد که یک آدرس IP ایتالیایی است. با این حال، به نظر می رسد که بدافزار در حال توسعه مداوم است، زیرا نسخه های جدیدتر اکنون از دامنه های شبکه TOR به جای آدرس های IP سخت کد شده استفاده می کنند.

تأثیر جهانی: هزاران روتر در معرض خطر

یک جستجوی هدفمند نشان می دهد که بیش از 6000 دستگاه قبلاً تحت تأثیر Ballista قرار گرفته اند. آسیب پذیرترین مناطق شامل برزیل، لهستان، بریتانیا، بلغارستان و ترکیه است. با توجه به تکامل فعال آن، این بات نت یک تهدید مهم برای روترهای بدون اصلاح در سراسر جهان است.

پرطرفدار

PayPal - شما یک آدرس ایمیل کلاهبرداری جدید اضافه کردید

فیشینگ, هرزنامه
دنیای دیجیتال مملو از طرح های فریبنده است که برای دستکاری کاربران در ارائه اطلاعات حساس یا نصب نرم افزارهای ناامن طراحی شده است. مجرمان سایبری اغلب جعل هویت شرکت های معروفی مانند پی پال هستند تا کلاهبرداری های خود را معتبر جلوه دهند. یکی از این کمپین‌های کلاهبرداری، معروف به کلاهبرداری «PayPal - شما یک آدرس جدید اضافه کردید»، کاربران را فریب می‌دهد تا حساب‌هایشان را به خطر بیاندازند. درک نحوه...

Plebeianness.app

ابزارهای تبلیغاتی مزاحم, بدافزار مک, برنامه های بالقوه ناخواسته
دنیای امنیت سایبری دائما در حال تحول است و حتی کاربران مک نیز از تهدیدات ناشی از نرم افزارهای ناامن مصون نیستند. یکی از این دردسرسازها که در زمان‌های اخیر شهرت پیدا کرده است، Plebeianness.app است،...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
23,691
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...