Preventivo sconto multi-licenza
Database delle minacce Botnet Botnet balista

Botnet balista

Entro Mezo nel Botnet
Traduci in:
Italiano

È stata identificata una nuova campagna botnet denominata Ballista, che prende di mira esplicitamente i router TP-Link Archer non patchati. I ricercatori di sicurezza informatica hanno scoperto che la botnet sfrutta una vulnerabilità Remote Code Execution (RCE), CVE-2023-1389, per propagarsi su Internet. Questa falla di gravità elevata colpisce i router TP-Link Archer AX-21, consentendo agli aggressori di eseguire comandi da remoto e di prendere il controllo del dispositivo.

Una cronologia dello sfruttamento

Le prove di sfruttamento attivo risalgono ad aprile 2023, quando attori di minacce sconosciuti hanno utilizzato per la prima volta la vulnerabilità per distribuire il malware botnet Mirai . Da allora, è stata sfruttata per diffondere altri ceppi di malware, tra cui Condi e AndroxGh0st , aumentando ulteriormente la sua portata e il suo impatto.

Come funziona l'attacco

La sequenza di attacco inizia con un dropper di malware, uno script shell denominato "dropbpb.sh", che scarica ed esegue un binario dannoso sui router presi di mira. Il malware è progettato per essere eseguito su più architetture di sistema, tra cui MIPS, mipsel, armv5l, armv7l e x86_64. Una volta installato, stabilisce un canale Command-and-Control (C2) crittografato sulla porta 82, consentendo agli aggressori di controllare da remoto il dispositivo infetto.

Capacità della botnet Ballista

Una volta all'interno di un sistema, Ballista consente agli aggressori di eseguire una serie di comandi, tra cui:

  • Flooder : lancia un attacco denial-of-service (DoS) basato su flood.
  • Exploiter : sfrutta CVE-2023-1389 per infettare altri router.
  • Avvio : avvia il modulo exploiter.
  • Chiudi – Arresta il modulo exploit.
  • Shell – Esegue i comandi della shell Linux sul sistema infetto.
  • Killall – Termina il servizio malware in esecuzione.

Inoltre, il malware può cancellare le tracce della propria presenza e diffondersi autonomamente, ricercando e sfruttando i dispositivi vulnerabili.

Segnali di un legame italiano

Un'analisi dell'infrastruttura di Ballista rivela un collegamento italiano. I binari del malware contengono stringhe in lingua italiana e il server C2 iniziale era ospitato su 2.237.57.70, un indirizzo IP italiano. Tuttavia, il malware sembra essere in continuo sviluppo, poiché le versioni più recenti ora utilizzano domini di rete TOR anziché indirizzi IP hardcoded.

Impatto globale: migliaia di router a rischio

Una ricerca mirata suggerisce che oltre 6.000 dispositivi sono già stati colpiti da Ballista. Le regioni più vulnerabili includono Brasile, Polonia, Regno Unito, Bulgaria e Turchia. Data la sua evoluzione attiva, questa botnet rimane una minaccia significativa per i router non patchati in tutto il mondo.

Tendenza

I più visti

Caricamento in corso...