Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Rețele bot Ballista Botnet

Ballista Botnet

Până în Mezo în Rețele bot
Tradu in:
Română

A fost identificată o nouă campanie botnet numită Ballista, care vizează în mod explicit routerele TP-Link Archer nepatchate. Cercetătorii în domeniul securității cibernetice au descoperit că botnetul profită de o vulnerabilitate Remote Code Execution (RCE) – CVE-2023-1389 – pentru a se propaga pe internet. Acest defect de mare severitate afectează routerele TP-Link Archer AX-21, permițând atacatorilor să execute comenzi de la distanță și să preia controlul asupra dispozitivului.

O cronologie a exploatării

Dovezile exploatării active datează din aprilie 2023, când actori necunoscuți de amenințări au folosit pentru prima dată vulnerabilitatea pentru a distribui malware Mirai botnet. De atunci, a fost folosit pentru a răspândi alte tulpini de malware, inclusiv Condi și AndroxGh0st , crescându-i și mai mult acoperirea și impactul.

Cum funcționează atacul

Secvența de atac începe cu un dropper de malware – un script shell numit „dropbpb.sh” – care descarcă și execută un binar rău intenționat pe routerele vizate. Programul malware este proiectat să ruleze pe mai multe arhitecturi de sistem, inclusiv MIPS, mipsel, armv5l, armv7l și x86_64. Odată instalat, stabilește un canal criptat de comandă și control (C2) pe portul 82, permițând atacatorilor să controleze de la distanță dispozitivul infectat.

Capabilitățile rețelei botnet Ballista

Odată în interiorul unui sistem, Ballista le permite atacatorilor să execute o serie de comenzi, inclusiv:

  • Flooder – Lansează un atac de refuzare a serviciului (DoS) bazat pe inundații.
  • Exploiter – exploatează CVE-2023-1389 pentru a infecta routere suplimentare.
  • Start – Inițiază modulul de exploatare.
  • Închidere – Oprește modulul de exploatare.
  • Shell – Execută comenzi shell Linux pe sistemul infectat.
  • Killall – Închide serviciul malware care rulează.

În plus, malware-ul poate șterge urmele propriei sale prezențe și se poate răspândi în mod autonom prin căutarea și exploatarea dispozitivelor vulnerabile.

Semne ale unei conexiuni italiene

O analiză a infrastructurii Ballista relevă o legătură cu Italia. Binarele malware conțin șiruri în limba italiană, iar serverul inițial C2 a fost găzduit la 2.237.57.70, o adresă IP italiană. Cu toate acestea, malware-ul pare să fie în continuă dezvoltare, deoarece versiunile mai noi folosesc acum domenii de rețea TOR în loc de adrese IP codificate.

Impact global: mii de routere în pericol

O căutare direcționată sugerează că peste 6.000 de dispozitive au fost deja afectate de Ballista. Cele mai vulnerabile regiuni includ Brazilia, Polonia, Regatul Unit, Bulgaria și Turcia. Având în vedere evoluția sa activă, acest botnet rămâne o amenințare semnificativă pentru routerele nepatchate din întreaga lume.

Trending

PayPal - Ați adăugat o nouă adresă înșelătorie prin...

phishing, Spam
Lumea digitală este plină de scheme înșelătoare menite să manipuleze utilizatorii să dea informații sensibile sau să instaleze software nesigur. Criminalii cibernetici se uzurpă frecvent în companii cunoscute, cum ar fi PayPal, pentru a face escrocherii lor să pară credibile. O astfel de campanie frauduloasă, cunoscută sub numele de înșelătorie „PayPal – Ai adăugat o nouă adresă”, îi face pe...

Cele mai văzute

Se încarcă...