Ponuda s popustom na više licenci
Baza prijetnji Botneti Ballista Botnet

Ballista Botnet

Do Mezo. Botneti. godine
Prevedi na:
Hrvatski

Identificirana je nova botnet kampanja nazvana Ballista, koja izričito cilja na nezakrpane TP-Link Archer usmjerivače. Istraživači kibernetičke sigurnosti otkrili su da botnet iskorištava ranjivost Remote Code Execution (RCE)—CVE-2023-1389—za širenje Internetom. Ova greška visoke ozbiljnosti utječe na TP-Link Archer AX-21 usmjerivače, omogućujući napadačima da daljinski izvršavaju naredbe i preuzmu kontrolu nad uređajem.

Vremenska crta iskorištavanja

Dokazi o aktivnom iskorištavanju datiraju iz travnja 2023., kada su nepoznati akteri prijetnji prvi put upotrijebili ranjivost za distribuciju zlonamjernog softvera za Mirai botnet. Od tada se koristi za širenje drugih sojeva zlonamjernog softvera, uključujući Condi i AndroxGh0st , dodatno povećavajući svoj doseg i utjecaj.

Kako funkcionira napad

Sekvenca napada počinje s dropperom zlonamjernog softvera—skriptom ljuske pod nazivom 'dropbpb.sh'—koja preuzima i izvršava zlonamjerni binarni program na ciljanim usmjerivačima. Zlonamjerni softver dizajniran je za rad na više arhitektura sustava, uključujući MIPS, mipsel, armv5l, armv7l i x86_64. Jednom instaliran, uspostavlja šifrirani Command-and-Control (C2) kanal na priključku 82, dopuštajući napadačima da daljinski upravljaju zaraženim uređajem.

Mogućnosti Ballista Botneta

Jednom kada uđe u sustav, Ballista omogućuje napadačima da izvrše niz naredbi, uključujući:

  • Flooder – pokreće napad uskraćivanja usluge (DoS) temeljen na poplavama.
  • Eksploater – iskorištava CVE-2023-1389 za zarazu dodatnih usmjerivača.
  • Start – Pokreće modul eksploatatora.
  • Zatvori – Zaustavlja eksploatacijski modul.
  • Shell – Izvršava Linux shell naredbe na zaraženom sustavu.
  • Killall – prekida pokrenutu uslugu zlonamjernog softvera.

Dodatno, zlonamjerni softver može izbrisati tragove vlastite prisutnosti i samostalno se širiti traženjem i iskorištavanjem ranjivih uređaja.

Znakovi talijanske veze

Analiza Ballistine infrastrukture otkriva talijansku vezu. Binarne datoteke zlonamjernog softvera sadrže nizove na talijanskom jeziku, a početni C2 poslužitelj bio je smješten na 2.237.57.70, talijanskoj IP adresi. Međutim, čini se da je zlonamjerni softver u stalnom razvoju, jer novije verzije sada koriste TOR mrežne domene umjesto tvrdo kodiranih IP adresa.

Globalni utjecaj: tisuće usmjerivača u opasnosti

Ciljano pretraživanje sugerira da je više od 6000 uređaja već pogođeno Ballistom. Najranjivije regije uključuju Brazil, Poljsku, Ujedinjeno Kraljevstvo, Bugarsku i Tursku. S obzirom na njegovu aktivnu evoluciju, ovaj botnet ostaje značajna prijetnja nezakrpanim usmjerivačima diljem svijeta.

U trendu

Nagledanije

Učitavam...