Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Botnetai „Ballista“ robotų tinklas

„Ballista“ robotų tinklas

Autorius Mezo, Botnetai
Versti į:
Lietuvių

Buvo nustatyta nauja robotų tinklo kampanija, pavadinta „Ballista“, skirta nepataisytiems TP-Link Archer maršrutizatoriams. Kibernetinio saugumo tyrinėtojai nustatė, kad botnetas naudoja nuotolinio kodo vykdymo (RCE) pažeidžiamumą CVE-2023-1389, kad galėtų plisti internete. Šis labai rimtas trūkumas turi įtakos TP-Link Archer AX-21 maršrutizatoriams, todėl užpuolikai gali nuotoliniu būdu vykdyti komandas ir perimti įrenginio valdymą.

Išnaudojimo laiko juosta

Aktyvaus išnaudojimo įrodymai datuojami 2023 m. balandžio mėn., kai nežinomi grėsmės veikėjai pirmą kartą panaudojo pažeidžiamumą platindami „Mirai botnet“ kenkėjišką programą. Nuo tada jis buvo naudojamas platinti kitas kenkėjiškų programų padermes, įskaitant „Condi“ ir „AndroxGh0st“ , dar labiau padidinant jos pasiekiamumą ir poveikį.

Kaip veikia ataka

Atakos seka prasideda kenkėjiškų programų lašintuvu – apvalkalo scenarijumi, pavadintu „dropbpb.sh“, kuris atsisiunčia ir vykdo kenkėjišką dvejetainį failą tiksliniuose maršrutizatoriuose. Kenkėjiška programa sukurta veikti keliose sistemos architektūrose, įskaitant MIPS, mipsel, armv5l, armv7l ir x86_64. Įdiegus jis sukuria užšifruotą komandų ir valdymo (C2) kanalą 82 prievade, leidžiantį užpuolikams nuotoliniu būdu valdyti užkrėstą įrenginį.

„Ballista Botnet“ galimybės

Patekusi į sistemą, „Ballista“ leidžia užpuolikams vykdyti daugybę komandų, įskaitant:

  • „Flooder“ – paleidžia užtvindymu pagrįstą paslaugų atsisakymo (DoS) ataką.
  • Išnaudotojas – išnaudoja CVE-2023-1389, kad užkrėstų papildomus maršrutizatorius.
  • Pradėti – inicijuoja išnaudojimo modulį.
  • Uždaryti – sustabdo išnaudojimo modulį.
  • Shell – vykdo Linux apvalkalo komandas užkrėstoje sistemoje.
  • Killall – nutraukia veikiančią kenkėjiškų programų paslaugą.

Be to, kenkėjiška programa gali ištrinti savo buvimo pėdsakus ir plisti savarankiškai, ieškodama ir išnaudodama pažeidžiamus įrenginius.

Italų ryšio ženklai

„Ballista“ infrastruktūros analizė atskleidžia itališką ryšį. Kenkėjiškų programų dvejetainiuose failuose yra italų kalbos eilučių, o pradinis C2 serveris buvo priglobtas 2.237.57.70, itališku IP adresu. Tačiau atrodo, kad kenkėjiška programa yra nuolat tobulinama, nes naujesnėse versijose dabar naudojami TOR tinklo domenai, o ne užkoduoti IP adresai.

Pasaulinis poveikis: tūkstančiams maršrutizatorių gresia pavojus

Tikslinė paieška rodo, kad „Ballista“ jau paveikė daugiau nei 6000 įrenginių. Labiausiai pažeidžiami regionai yra Brazilija, Lenkija, Jungtinė Karalystė, Bulgarija ir Turkija. Atsižvelgiant į aktyvią evoliuciją, šis robotų tinklas išlieka didelė grėsmė nepataisytiems maršrutizatoriams visame pasaulyje.

Tendencijos

„PayPal“ – pridėjote naują el. pašto adresą

Sukčiavimas, Šlamštas
Skaitmeniniame pasaulyje gausu apgaulingų schemų, skirtų manipuliuoti naudotojais, kad jie atskleistų neskelbtiną informaciją arba įdiegtų nesaugią programinę įrangą. Kibernetiniai nusikaltėliai dažnai apsimeta gerai žinomomis įmonėmis, tokiomis kaip „PayPal“, kad jų sukčiai atrodytų patikimi. Viena iš tokių apgaulingų kampanijų, žinomų kaip „PayPal – pridėjote naują adresą“ afera, verčia...

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
23,691
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...