Rabattoffert för flera licenser
Hotdatabas Botnät Ballista Botnet

Ballista Botnet

Med Mezo år Botnät
Översätt till:
Svenska

En ny botnätkampanj kallad Ballista har identifierats, uttryckligen inriktad på oparpade TP-Link Archer-routrar. Cybersäkerhetsforskare har funnit att botnätet drar fördel av en Remote Code Execution (RCE) sårbarhet – CVE-2023-1389 – för att spridas över Internet. Detta allvarliga fel påverkar TP-Link Archer AX-21-routrar, vilket gör att angripare kan utföra kommandon på distans och ta kontroll över enheten.

En tidslinje för exploatering

Bevis på aktiv exploatering går tillbaka till april 2023, då okända hotaktörer först använde sårbarheten för att distribuera Mirai botnet malware. Sedan dess har det utnyttjats för att sprida andra skadliga stammar, inklusive Condi och AndroxGh0st , vilket ytterligare ökar dess räckvidd och effekt.

Hur attacken fungerar

Attacksekvensen börjar med en skadlig programvara - ett skalskript som heter 'dropbpb.sh' - som laddar ner och kör en skadlig binärfil på riktade routrar. Skadlig programvara är utformad för att köras på flera systemarkitekturer, inklusive MIPS, mipsel, armv5l, armv7l och x86_64. När den väl har installerats etablerar den en krypterad Command-and-Control-kanal (C2) på port 82, vilket gör att angripare kan fjärrstyra den infekterade enheten.

Ballista Botnets funktioner

Väl inne i ett system gör Ballista det möjligt för angripare att utföra en rad kommandon, inklusive:

  • Flooder – Lanserar en översvämningsbaserad denial-of-service-attack (DoS).
  • Exploitör – Använder CVE-2023-1389 för att infektera ytterligare routrar.
  • Start – Initierar exploateringsmodulen.
  • Stäng – Stoppar exploateringsmodulen.
  • Shell – Kör Linux-skalkommandon på det infekterade systemet.
  • Killall – Avslutar den pågående skadliga tjänsten.

Dessutom kan skadlig programvara radera spår av sin egen närvaro och sprida sig självständigt genom att söka upp och utnyttja sårbara enheter.

Tecken på en italiensk anslutning

En analys av Ballistas infrastruktur avslöjar en italiensk länk. Binärfilerna för skadlig programvara innehåller italienska språksträngar, och den ursprungliga C2-servern var värd på 2.237.57.70, en italiensk IP-adress. Skadlig programvara verkar dock vara under kontinuerlig utveckling, eftersom nyare versioner nu använder TOR-nätverksdomäner istället för hårdkodade IP-adresser.

Global påverkan: tusentals routrar i riskzonen

En riktad sökning tyder på att över 6 000 enheter redan har påverkats av Ballista. De mest utsatta regionerna är Brasilien, Polen, Storbritannien, Bulgarien och Turkiet. Med tanke på dess aktiva utveckling är detta botnät fortfarande ett betydande hot mot oparpade routrar över hela världen.

Trendigt

PayPal - Du har lagt till en ny adress E-postbedrägeri

Nätfiske, Spam
Den digitala världen är full av bedrägliga system utformade för att manipulera användare att ge bort känslig information eller installera osäker programvara. Cyberkriminella utger sig ofta för att vara välkända företag, som PayPal, för att få deras bedrägerier att framstå som trovärdiga. En sådan bedräglig kampanj, känd som "PayPal - Du har lagt till en ny adress", lurar användare att tro att...

Mest sedda

Läser in...