Multilicenčná zľavová ponuka
Databáza hrozieb Botnety Botnet Ballista

Botnet Ballista

Do roku Mezo v roku Botnety
Preložiť do:
Slovenčina

Bola identifikovaná nová botnetová kampaň s názvom Ballista, ktorá sa explicitne zameriava na neopravené smerovače TP-Link Archer. Výskumníci v oblasti kybernetickej bezpečnosti zistili, že botnet využíva zraniteľnosť vzdialeného spustenia kódu (RCE) – CVE-2023-1389 – na šírenie cez internet. Táto veľmi závažná chyba ovplyvňuje smerovače TP-Link Archer AX-21, čo umožňuje útočníkom vykonávať príkazy na diaľku a prevziať kontrolu nad zariadením.

Časová os vykorisťovania

Dôkazy o aktívnom využívaní pochádzajú z apríla 2023, keď neznámi aktéri hrozby prvýkrát použili túto zraniteľnosť na distribúciu malvéru botnetu Mirai . Odvtedy sa využíva na šírenie ďalších druhov malvéru vrátane Condi a AndroxGh0st , čím sa ďalej zvyšuje jeho dosah a vplyv.

Ako funguje útok

Sekvencia útoku začína kvapkadlom škodlivého softvéru – skriptom shellu s názvom „dropbpb.sh“, ktorý stiahne a spustí škodlivý binárny súbor na cielených smerovačoch. Malvér je navrhnutý tak, aby fungoval na viacerých systémových architektúrach vrátane MIPS, mipsel, armv5l, armv7l a x86_64. Po inštalácii vytvorí šifrovaný kanál Command-and-Control (C2) na porte 82, ktorý útočníkom umožní vzdialene ovládať infikované zariadenie.

Schopnosti botnetu Ballista

Keď sa Ballista dostane do systému, umožňuje útočníkom vykonávať celý rad príkazov vrátane:

  • Flooder – Spustí útok typu DoS (Denial-of-service).
  • Exploiter – Využíva CVE-2023-1389 na infikovanie ďalších smerovačov.
  • Štart – Spustí modul exploiter.
  • Close – Zastaví exploit modul.
  • Shell – Vykonáva príkazy shellu Linux na infikovanom systéme.
  • Killall – Ukončí spustenú malvérovú službu.

Okrem toho môže malvér vymazať stopy svojej vlastnej prítomnosti a autonómne sa šíriť vyhľadávaním a zneužívaním zraniteľných zariadení.

Známky talianskeho spojenia

Analýza infraštruktúry spoločnosti Ballista odhaľuje talianske prepojenie. Binárne súbory škodlivého softvéru obsahujú reťazce v talianskom jazyku a počiatočný server C2 bol hosťovaný na adrese 2.237.57.70, talianska IP adresa. Zdá sa však, že malvér sa neustále vyvíja, pretože novšie verzie teraz používajú sieťové domény TOR namiesto pevne zakódovaných IP adries.

Globálny dopad: Tisíce smerovačov v ohrození

Cielené vyhľadávanie naznačuje, že Ballista už ovplyvnilo viac ako 6 000 zariadení. Medzi najzraniteľnejšie regióny patria Brazília, Poľsko, Spojené kráľovstvo, Bulharsko a Turecko. Vzhľadom na svoj aktívny vývoj zostáva tento botnet významnou hrozbou pre nepatchované smerovače na celom svete.

Trendy

PayPal – pridali ste nový podvodný e-mail s adresou

Phishing, Spam
Digitálny svet je plný podvodných schém navrhnutých na manipuláciu používateľov, aby poskytli citlivé informácie alebo nainštalovali nebezpečný softvér. Kyberzločinci sa často vydávajú za známe spoločnosti, ako je PayPal, aby ich podvody vyzerali dôveryhodne. Jedna takáto podvodná kampaň, známa ako podvod „PayPal – pridali ste novú adresu“, navádza používateľov, aby uverili, že ich účty boli...

Najviac videné

Načítava...