Ballista-botnet
Er is een nieuwe botnetcampagne genaamd Ballista geïdentificeerd, die expliciet gericht is op ongepatchte TP-Link Archer-routers. Cybersecurity-onderzoekers hebben ontdekt dat het botnet misbruik maakt van een Remote Code Execution (RCE)-kwetsbaarheid—CVE-2023-1389—om zich over het internet te verspreiden. Deze zeer ernstige fout treft TP-Link Archer AX-21-routers, waardoor aanvallers op afstand opdrachten kunnen uitvoeren en de controle over het apparaat kunnen overnemen.
Inhoudsopgave
Een tijdlijn van exploitatie
Bewijs van actieve exploitatie dateert uit april 2023, toen onbekende dreigingsactoren de kwetsbaarheid voor het eerst gebruikten om Mirai- botnetmalware te verspreiden. Sindsdien is het gebruikt om andere malwarestammen te verspreiden, waaronder Condi en AndroxGh0st , waardoor het bereik en de impact ervan verder zijn toegenomen.
Hoe de aanval werkt
De aanvalssequentie begint met een malware-dropper, een shellscript met de naam 'dropbpb.sh', die een kwaadaardig binair bestand downloadt en uitvoert op de beoogde routers. De malware is ontworpen om te draaien op meerdere systeemarchitecturen, waaronder MIPS, mipsel, armv5l, armv7l en x86_64. Eenmaal geïnstalleerd, stelt het een gecodeerd Command-and-Control (C2)-kanaal in op poort 82, waardoor aanvallers het geïnfecteerde apparaat op afstand kunnen bedienen.
Mogelijkheden van het Ballista Botnet
Zodra Ballista een systeem binnendringt, kunnen aanvallers een reeks opdrachten uitvoeren, waaronder:
- Flooder – Lanceert een op flooding gebaseerde denial-of-service (DoS)-aanval.
- Exploiter – Maakt gebruik van CVE-2023-1389 om extra routers te infecteren.
- Start – Start de exploitermodule.
- Sluiten – Stopt de exploitmodule.
- Shell – Voert Linux shell-opdrachten uit op het geïnfecteerde systeem.
- Killall – Beëindigt de actieve malware-service.
Bovendien kan de malware sporen van zijn eigen aanwezigheid wissen en zich autonoom verspreiden door kwetsbare apparaten op te sporen en te misbruiken.
Tekenen van een Italiaanse connectie
Een analyse van de infrastructuur van Ballista onthult een Italiaanse link. De malware-binaries bevatten Italiaanse taalstrings en de oorspronkelijke C2-server werd gehost op 2.237.57.70, een Italiaans IP-adres. De malware lijkt echter continu in ontwikkeling te zijn, aangezien nieuwere versies nu TOR-netwerkdomeinen gebruiken in plaats van hardgecodeerde IP-adressen.
Wereldwijde impact: duizenden routers in gevaar
Een gerichte zoekopdracht suggereert dat meer dan 6.000 apparaten al zijn getroffen door Ballista. De meest kwetsbare regio's zijn Brazilië, Polen, het Verenigd Koninkrijk, Bulgarije en Turkije. Gezien de actieve ontwikkeling ervan blijft dit botnet een aanzienlijke bedreiging voor ongepatchte routers wereldwijd.
