Ballista Botnet

Menjelang Mezo pada Botnet

Terjemahkan ke

Kempen botnet baharu yang digelar Ballista telah dikenal pasti, secara eksplisit menyasarkan penghala TP-Link Archer yang tidak ditambal. Penyelidik keselamatan siber telah mendapati bahawa botnet mengambil kesempatan daripada kelemahan Pelaksanaan Kod Jauh (RCE)—CVE-2023-1389—untuk disebarkan ke seluruh Internet. Cacat keterukan tinggi ini menjejaskan penghala TP-Link Archer AX-21, membolehkan penyerang melaksanakan arahan dari jauh dan mengawal peranti.

Isi kandungan

Garis Masa Eksploitasi

Bukti eksploitasi aktif bermula sejak April 2023, apabila pelaku ancaman yang tidak diketahui mula-mula menggunakan kelemahan untuk mengedarkan perisian hasad botnet Mirai . Sejak itu, ia telah dimanfaatkan untuk menyebarkan jenis perisian hasad lain, termasuk Condi dan AndroxGh0st , meningkatkan lagi jangkauan dan impaknya.

Bagaimana Serangan Berfungsi

Urutan serangan bermula dengan penitis perisian hasad—skrip shell bernama 'dropbpb.sh'—yang memuat turun dan melaksanakan binari berniat jahat pada penghala yang disasarkan. Malware direka bentuk untuk dijalankan pada berbilang seni bina sistem, termasuk MIPS, mipsel, armv5l, armv7l dan x86_64. Setelah dipasang, ia mewujudkan saluran Perintah-dan-Kawalan (C2) yang disulitkan pada port 82, membenarkan penyerang mengawal peranti yang dijangkiti dari jauh.

Keupayaan Ballista Botnet

Apabila berada di dalam sistem, Ballista membolehkan penyerang untuk melaksanakan pelbagai arahan, termasuk:

Flooder – Melancarkan serangan penafian perkhidmatan (DoS) berasaskan banjir.
Pengeksploitasi – Mengeksploitasi CVE-2023-1389 untuk menjangkiti penghala tambahan.
Mula – Memulakan modul pengeksploitasi.
Tutup – Menghentikan modul eksploitasi.
Shell – Melaksanakan perintah shell Linux pada sistem yang dijangkiti.
Killall – Menamatkan perkhidmatan perisian hasad yang sedang berjalan.

Selain itu, perisian hasad boleh memadamkan kesan kehadirannya sendiri dan merebak secara autonomi dengan mencari dan mengeksploitasi peranti yang terdedah.

Tanda-tanda Hubungan Itali

Analisis infrastruktur Ballista mendedahkan pautan Itali. Binari perisian hasad mengandungi rentetan bahasa Itali dan pelayan C2 awal dihoskan di 2.237.57.70, alamat IP Itali. Walau bagaimanapun, perisian hasad nampaknya sedang dalam pembangunan berterusan, kerana versi yang lebih baharu kini menggunakan domain rangkaian TOR dan bukannya alamat IP berkod keras.

Kesan Global: Beribu-ribu Penghala Berisiko

Carian yang disasarkan menunjukkan bahawa lebih 6,000 peranti telah terjejas oleh Ballista. Kawasan yang paling terdedah termasuk Brazil, Poland, United Kingdom, Bulgaria dan Turki. Memandangkan evolusi aktifnya, botnet ini kekal sebagai ancaman besar kepada penghala yang tidak ditambal di seluruh dunia.

Pemproses Pembayaran EnigmaSoft Pemfailan Digital River GmbH untuk Kebankrapan Tidak Menjejas Perlindungan Anti-Hasad Pelanggan SpyHunter

Cari

Tukar Wilayah

Ballista Botnet

Garis Masa Eksploitasi

Bagaimana Serangan Berfungsi

Keupayaan Ballista Botnet

Tanda-tanda Hubungan Itali

Kesan Global: Beribu-ribu Penghala Berisiko

hantar komen

Trending

Apl Almoristics

PayPal - Anda Menambah Penipuan E-mel Alamat Baharu

Plebeianness.app

Paling banyak dilihat

Penipuan E-mel 'Geek Squad'

Timbul Timbul 'iPhone Anda Telah Digodam'

Perisian hasad