Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Redes de Bots Ballista Botnet

Ballista Botnet

Por Mezo em Redes de Bots
Traduzir Para:
Português

Uma nova campanha de um botnet chamado Ballista foi identificada, mirando explicitamente em roteadores TP-Link Archer sem patch. Os pesquisadores de segurança cibernética descobriram que a botnet tira vantagem de uma vulnerabilidade de Execução Remota de Código (RCE) — CVE-2023-1389 — para se propagar pela Internet. Essa falha de alta gravidade afeta roteadores TP-Link Archer AX-21, permitindo que invasores executem comandos remotamente e assumam o controle do dispositivo.

Uma Linha de Exploração do Tempo

As evidências de exploração ativa datam de abril de 2023, quando agentes de ameaças desconhecidos usaram a vulnerabilidade pela primeira vez para distribuir o malware botnet Mirai. Desde então, ele foi aproveitado para espalhar outras cepas de malware, incluindo Condi e AndroxGh0st , aumentando ainda mais seu alcance e impacto.

Como Funciona o Ataque

A sequência de ataque começa com um malware dropper — um script de shell chamado 'dropbpb.sh' — que baixa e executa um binário malicioso em roteadores alvos. O malware é projetado para rodar em várias arquiteturas de sistema, incluindo MIPS, mipsel, armv5l, armv7l e x86_64. Uma vez instalado, ele estabelece um canal de Comando e Controle (C2) criptografado na porta 82, permitindo que os invasores controlem remotamente o dispositivo infectado.

As Capacidades do Ballista Botnet

Uma vez dentro de um sistema, o Ballista permite que os invasores executem uma série de comandos, incluindo:

  • Flooder – Lança um ataque de negação de serviço (DoS) baseado em inundação.
  • Exploiter – Explora o CVE-2023-1389 para infectar roteadores adicionais.
  • Iniciar – Inicia o módulo explorador.
  • Fechar – Interrompe o módulo de exploração.
  • Shell – Executa comandos de shell do Linux no sistema infectado.
  • Killall – Encerra o serviço de malware em execução.

Além disso, o malware pode apagar rastros de sua própria presença e se espalhar de forma autônoma, buscando e explorando dispositivos vulneráveis.

Sinais de uma Conexão Italiana

Uma análise da infraestrutura do Ballista revela um link italiano. Os binários do malware contêm strings de idioma italiano, e o servidor C2 inicial foi hospedado em 2.237.57.70, um endereço IP italiano. No entanto, o malware parece estar em desenvolvimento contínuo, pois versões mais recentes agora usam domínios de rede TOR em vez de endereços IP codificados.

Impacto Global: Milhares de Roteadores em Risco

Uma busca direcionada sugere que mais de 6.000 dispositivos já foram afetados pelo Ballista. As regiões mais vulneráveis incluem Brasil, Polônia, Reino Unido, Bulgária e Turquia. Dada sua evolução ativa, esta botnet continua sendo uma ameaça significativa para roteadores sem patches em todo o mundo.

Tendendo

Mais visto

Carregando...