Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Botnets Ballista Botnet

Ballista Botnet

Nga MezoBotnets
Përkthe në:
Shqip

Është identifikuar një fushatë e re botnet e quajtur Ballista, e cila synon në mënyrë eksplicite ruterët e papatchuar TP-Link Archer. Studiuesit e sigurisë kibernetike kanë zbuluar se botnet-i përfiton nga një dobësi e Ekzekutimit të Kodit në distancë (RCE) - CVE-2023-1389 - për t'u përhapur në internet. Ky defekt i ashpërsisë së lartë prek ruterët TP-Link Archer AX-21, duke i lejuar sulmuesit të ekzekutojnë komanda nga distanca dhe të marrin kontrollin e pajisjes.

Një afat kohor i shfrytëzimit

Dëshmia e shfrytëzimit aktiv daton që nga prilli 2023, kur aktorë të panjohur kërcënimi përdorën për herë të parë dobësinë për të shpërndarë malware të botnetit Mirai . Që atëherë, ai është përdorur për të përhapur lloje të tjera malware, duke përfshirë Condi dhe AndroxGh0st , duke rritur më tej shtrirjen dhe ndikimin e tij.

Si funksionon sulmi

Sekuenca e sulmit fillon me një pikatore të malware-një skrip shell i quajtur 'dropbpb.sh'-i cili shkarkon dhe ekzekuton një binar me qëllim të keq në ruterat e synuar. Malware është krijuar për të ekzekutuar në arkitektura të shumta të sistemit, duke përfshirë MIPS, mipsel, armv5l, armv7l dhe x86_64. Pasi të instalohet, ai krijon një kanal të koduar Command-and-Control (C2) në portin 82, duke i lejuar sulmuesit të kontrollojnë në distancë pajisjen e infektuar.

Aftësitë e Ballista Botnet

Pasi hyn në një sistem, Ballista u mundëson sulmuesve të ekzekutojnë një sërë komandash, duke përfshirë:

  • Flooder – Nis një sulm të mohimit të shërbimit (DoS) të bazuar në përmbytje.
  • Exploiter – Shfrytëzon CVE-2023-1389 për të infektuar ruterë shtesë.
  • Start – Inicion modulin e shfrytëzuesit.
  • Mbyll - Ndalon modulin e shfrytëzimit.
  • Shell – Ekzekuton komandat e guaskës Linux në sistemin e infektuar.
  • Killall – Përfundon shërbimin e funksionimit të malware.

Për më tepër, malware mund të fshijë gjurmët e pranisë së tij dhe të përhapet në mënyrë autonome duke kërkuar dhe shfrytëzuar pajisje të cenueshme.

Shenjat e një lidhjeje italiane

Një analizë e infrastrukturës së Ballistëve zbulon një lidhje italiane. Binarët e malware përmbajnë vargje të gjuhës italiane dhe serveri fillestar C2 u strehua në 2.237.57.70, një adresë IP italiane. Megjithatë, malware duket se është në zhvillim të vazhdueshëm, pasi versionet më të reja tani përdorin domenet e rrjetit TOR në vend të adresave IP të koduara.

Ndikimi global: Mijëra ruterë në rrezik

Një kërkim i synuar sugjeron se mbi 6000 pajisje janë prekur tashmë nga Ballista. Rajonet më të cenueshme përfshijnë Brazilin, Poloninë, Mbretërinë e Bashkuar, Bullgarinë dhe Turqinë. Duke pasur parasysh evolucionin e tij aktiv, ky botnet mbetet një kërcënim i rëndësishëm për ruterat e papatchuar në mbarë botën.

Në trend

PayPal - Ju keni shtuar një mashtrim të ri me email...

Fishing, Spam
Bota dixhitale është plot me skema mashtruese të krijuara për të manipuluar përdoruesit për të dhënë informacione të ndjeshme ose për të instaluar softuer të pasigurt. Kriminelët kibernetikë shpesh imitojnë kompani të njohura, si PayPal, për t'i bërë mashtrimet e tyre të duken të besueshme. Një fushatë e tillë mashtruese, e njohur si mashtrimi 'PayPal - You Added A New Address', i...

Më e shikuara

Po ngarkohet...