Rabatttilbud for flere lisenser
Trusseldatabase Botnett Ballista Botnet

Ballista Botnet

Med Mezo i Botnett
Oversett til:
Norsk

En ny botnett-kampanje kalt Ballista har blitt identifisert, eksplisitt rettet mot upatchede TP-Link Archer-rutere. Cybersikkerhetsforskere har funnet ut at botnettet utnytter en Remote Code Execution (RCE)-sårbarhet – CVE-2023-1389 – for å spre seg over Internett. Denne alvorlige feilen påvirker TP-Link Archer AX-21-rutere, slik at angripere kan utføre kommandoer eksternt og ta kontroll over enheten.

En tidslinje for utnyttelse

Bevis på aktiv utnyttelse dateres tilbake til april 2023, da ukjente trusselaktører først brukte sårbarheten til å distribuere Mirai botnet-skadevare. Siden den gang har den blitt utnyttet til å spre andre skadevarestammer, inkludert Condi og AndroxGh0st , og øke rekkevidden og virkningen ytterligere.

Hvordan angrepet fungerer

Angrepssekvensen begynner med en malware-dropper – et shell-skript kalt 'dropbpb.sh' – som laster ned og kjører en ondsinnet binærfil på målrettede rutere. Skadevaren er designet for å kjøre på flere systemarkitekturer, inkludert MIPS, mipsel, armv5l, armv7l og x86_64. Når den er installert, etablerer den en kryptert Command-and-Control (C2) kanal på port 82, slik at angripere kan fjernstyre den infiserte enheten.

Mulighetene til Ballista Botnet

Når du er inne i et system, lar Ballista angripere utføre en rekke kommandoer, inkludert:

  • Flooder – Lanserer et flombasert denial-of-service (DoS) angrep.
  • Exploiter – Utnytter CVE-2023-1389 for å infisere flere rutere.
  • Start – Starter utnyttermodulen.
  • Lukk – Stopper utnyttelsesmodulen.
  • Shell – Utfører Linux-skallkommandoer på det infiserte systemet.
  • Killall – Avslutter den kjørende skadevaretjenesten.

I tillegg kan skadelig programvare slette spor etter sin egen tilstedeværelse og spre seg autonomt ved å oppsøke og utnytte sårbare enheter.

Tegn på en italiensk forbindelse

En analyse av Ballistas infrastruktur avslører en italiensk kobling. Binærfilene for skadevare inneholder italienske språkstrenger, og den opprinnelige C2-serveren var vert for 2.237.57.70, en italiensk IP-adresse. Skadevaren ser imidlertid ut til å være under kontinuerlig utvikling, ettersom nyere versjoner nå bruker TOR-nettverksdomener i stedet for hardkodede IP-adresser.

Global innvirkning: Tusenvis av rutere i fare

Et målrettet søk tyder på at over 6000 enheter allerede har blitt påvirket av Ballista. De mest sårbare regionene inkluderer Brasil, Polen, Storbritannia, Bulgaria og Tyrkia. Gitt sin aktive utvikling, er dette botnettet fortsatt en betydelig trussel mot upatchede rutere over hele verden.

Trender

Mest sett

Laster inn...