Popust za več licenc
Podjetje o grožnjah Botneti Ballista Botnet

Ballista Botnet

Do leta Mezo leta Botneti
Prevedi v:
Slovenščina

Ugotovljena je bila nova botnetna kampanja, imenovana Ballista, ki izrecno cilja na nepopravljene usmerjevalnike TP-Link Archer. Raziskovalci kibernetske varnosti so ugotovili, da botnet izkorišča ranljivost oddaljenega izvajanja kode (RCE) – CVE-2023-1389 – za širjenje po internetu. Ta zelo resna napaka vpliva na usmerjevalnike TP-Link Archer AX-21, kar napadalcem omogoča oddaljeno izvajanje ukazov in prevzem nadzora nad napravo.

Časovnica izkoriščanja

Dokazi o aktivnem izkoriščanju segajo v april 2023, ko so neznani akterji groženj prvič uporabili ranljivost za distribucijo zlonamerne programske opreme botneta Mirai . Od takrat se uporablja za širjenje drugih različic zlonamerne programske opreme, vključno s Condi in AndroxGh0st , kar še povečuje njen doseg in vpliv.

Kako deluje napad

Zaporedje napadov se začne z zlonamerno programsko opremo – skriptom lupine z imenom 'dropbpb.sh' – ki prenese in izvede zlonamerno binarno datoteko na ciljnih usmerjevalnikih. Zlonamerna programska oprema je zasnovana za delovanje na več sistemskih arhitekturah, vključno z MIPS, mipsel, armv5l, armv7l in x86_64. Ko je nameščen, vzpostavi šifriran kanal za ukazovanje in nadzor (C2) na vratih 82, kar napadalcem omogoča daljinsko upravljanje okužene naprave.

Zmogljivosti Ballista Botneta

Ko Ballista vstopi v sistem, napadalcem omogoči izvajanje vrste ukazov, vključno z:

  • Flooder – sproži napad zavrnitve storitve (DoS), ki temelji na poplavi.
  • Izkoriščevalec – izkorišča CVE-2023-1389 za okužbo dodatnih usmerjevalnikov.
  • Start – Zažene modul izkoriščevalca.
  • Zapri – zaustavi modul izkoriščanja.
  • Lupina – Izvaja ukaze lupine Linux v okuženem sistemu.
  • Killall – prekine delovanje storitve zlonamerne programske opreme.

Poleg tega lahko zlonamerna programska oprema izbriše sledi lastne prisotnosti in se avtonomno širi z iskanjem in izkoriščanjem ranljivih naprav.

Znaki italijanske povezave

Analiza Ballistine infrastrukture razkriva italijansko povezavo. Binarne datoteke zlonamerne programske opreme vsebujejo italijanske jezikovne nize, začetni strežnik C2 pa je gostoval na 2.237.57.70, italijanskem naslovu IP. Vendar se zdi, da se zlonamerna programska oprema nenehno razvija, saj novejše različice zdaj uporabljajo omrežne domene TOR namesto trdo kodiranih naslovov IP.

Globalni vpliv: na tisoče usmerjevalnikov v nevarnosti

Ciljno iskanje kaže, da je Ballista prizadela že več kot 6000 naprav. Najbolj ranljive regije so Brazilija, Poljska, Združeno kraljestvo, Bolgarija in Turčija. Glede na njegov aktivni razvoj ta botnet ostaja pomembna grožnja nepopravljenim usmerjevalnikom po vsem svetu.

V trendu

PayPal - Dodali ste nov naslov E-poštna prevara

Lažno predstavljanje, Neželena pošta
Digitalni svet je poln zavajajočih shem, namenjenih manipulaciji uporabnikov, da izdajo občutljive podatke ali namestijo nevarno programsko opremo. Kibernetski kriminalci se pogosto lažno predstavljajo kot znana podjetja, kot je PayPal, da bi njihove prevare izgledale verodostojne. Ena takih goljufivih kampanj, znana kot prevara »PayPal – dodali ste nov naslov«, uporabnike zavede, da verjamejo,...

Najbolj gledan

Nalaganje...