Попуст за више лиценци
Тхреат Датабасе Ботнети Баллиста Ботнет

Баллиста Ботнет

До Mezo. у Ботнети
Преведи на:
Српски

Идентификована је нова ботнет кампања под називом Баллиста, која експлицитно циља на рутере ТП-Линк Арцхер без закрпа. Истраживачи кибернетичке безбедности су открили да ботнет користи предност рањивости удаљеног извршавања кода (РЦЕ) — ЦВЕ-2023-1389 — за ширење преко Интернета. Ова велика грешка утиче на рутере ТП-Линк Арцхер АКС-21, омогућавајући нападачима да даљински извршавају команде и преузму контролу над уређајем.

Временски оквир експлоатације

Докази о активној експлоатацији датирају из априла 2023. године, када су непознати актери претњи први пут искористили рањивост да дистрибуирају малвер Мираи ботнет. Од тада се користи за ширење других сојева злонамерног софтвера, укључујући Цонди и АндрокГх0ст , додатно повећавајући његов досег и утицај.

Како функционише напад

Секвенца напада почиње са избацивачем злонамерног софтвера — схелл скриптом под називом „дропбпб.сх“ — која преузима и извршава злонамерни бинарни фајл на циљаним рутерима. Малвер је дизајниран да ради на више системских архитектура, укључујући МИПС, мипсел, армв5л, армв7л и к86_64. Једном инсталиран, успоставља шифровани канал за команду и контролу (Ц2) на порту 82, омогућавајући нападачима да даљински контролишу заражени уређај.

Могућности Баллиста Ботнета

Једном у систему, Баллиста омогућава нападачима да изврше низ команди, укључујући:

  • Флоодер – Покреће напад ускраћивања услуге (ДоС) заснован на поплави.
  • Експлоататор – Искоришћава ЦВЕ-2023-1389 да инфицира додатне рутере.
  • Старт – Покреће модул експлоатације.
  • Затвори – Зауставља експлоатациони модул.
  • Схелл – Извршава Линук схелл команде на зараженом систему.
  • Киллалл – Укида покренуту услугу злонамерног софтвера.

Поред тога, злонамерни софтвер може да избрише трагове сопственог присуства и да се самостално шири тражећи и искоришћавајући рањиве уређаје.

Знаци италијанске везе

Анализа Балистине инфраструктуре открива италијанску везу. Бинарне датотеке злонамерног софтвера садрже низове на италијанском језику, а почетни Ц2 сервер је био хостован на 2.237.57.70, италијанској ИП адреси. Међутим, изгледа да је малвер у сталном развоју, јер новије верзије сада користе ТОР мрежне домене уместо тврдо кодираних ИП адреса.

Глобални утицај: Хиљаде рутера у опасности

Циљана претрага сугерише да је преко 6.000 уређаја већ погођено Балиста. Најрањивији региони укључују Бразил, Пољску, Уједињено Краљевство, Бугарску и Турску. С обзиром на његову активну еволуцију, овај ботнет остаје значајна претња за рутере који нису закрпљени широм света.

У тренду

ПаиПал - Додали сте нову адресу е-поште превара

Пецање, Спам
Дигитални свет је пун обмањујућих шема дизајнираних да манипулишу корисницима да одају осетљиве информације или инсталирају небезбедни софтвер. Сајбер криминалци се често лажно представљају као познате компаније, као што је ПаиПал, како би њихове преваре изгледале веродостојно. Једна таква лажна кампања, позната као превара „ПаиПал – додали сте нову адресу“, обмањује кориснике да поверују да су...

Најгледанији

Злонамерних програма

Пецање, Спам
23,691
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...