Ballista Botnet
Natukoy ang isang bagong botnet campaign na tinawag na Ballista, na tahasang nagta-target ng mga hindi na-patch na TP-Link Archer router. Nalaman ng mga mananaliksik sa cybersecurity na sinasamantala ng botnet ang isang kahinaan ng Remote Code Execution (RCE)—CVE-2023-1389—upang ipalaganap sa Internet. Ang mataas na kalubhaan na ito ay nakakaapekto sa mga TP-Link Archer AX-21 na mga router, na nagpapahintulot sa mga umaatake na magsagawa ng mga command nang malayuan at kontrolin ang device.
Talaan ng mga Nilalaman
Isang Timeline ng Pagsasamantala
Ang katibayan ng aktibong pagsasamantala ay nagsimula noong Abril 2023, noong unang ginamit ng mga hindi kilalang banta ang kahinaan upang ipamahagi ang Mirai botnet malware. Simula noon, ginamit na ito upang maikalat ang iba pang mga strain ng malware, kabilang ang Condi at AndroxGh0st , lalo pang pinapataas ang abot at epekto nito.
Paano Gumagana ang Pag-atake
Nagsisimula ang pagkakasunud-sunod ng pag-atake sa isang malware dropper—isang shell script na pinangalanang 'dropbpb.sh'—na nagda-download at nagpapatupad ng malisyosong binary sa mga naka-target na router. Ang malware ay idinisenyo upang tumakbo sa maraming arkitektura ng system, kabilang ang MIPS, mipsel, armv5l, armv7l at x86_64. Kapag na-install na, magtatatag ito ng naka-encrypt na Command-and-Control (C2) na channel sa port 82, na nagpapahintulot sa mga umaatake na malayuang kontrolin ang infected na device.
Mga Kakayahan ng Ballista Botnet
Sa sandaling nasa loob ng isang system, binibigyang-daan ng Ballista ang mga umaatake na magsagawa ng isang hanay ng mga utos, kabilang ang:
- Flooder – Naglulunsad ng pag-atake na nakabatay sa baha na denial-of-service (DoS).
- Exploiter – Sinasamantala ang CVE-2023-1389 para mahawa ang mga karagdagang router.
- Simulan – Sinisimulan ang module ng mapagsamantala.
- Isara – Ihihinto ang pagsasamantala sa module.
- Shell – Nagsasagawa ng mga command ng shell ng Linux sa nahawaang system.
- Killall – Tinatapos ang tumatakbong serbisyo ng malware.
Bukod pa rito, maaaring burahin ng malware ang mga bakas ng sarili nitong presensya at kusang kumalat sa pamamagitan ng paghahanap at pagsasamantala sa mga mahihinang device.
Mga Palatandaan ng Koneksyon ng Italyano
Ang isang pagsusuri sa imprastraktura ng Ballista ay nagpapakita ng isang Italyano na link. Ang malware binary ay naglalaman ng mga string ng wikang Italyano, at ang paunang C2 server ay na-host sa 2.237.57.70, isang Italian IP address. Gayunpaman, lumilitaw na ang malware ay nasa ilalim ng patuloy na pag-unlad, dahil ang mga mas bagong bersyon ay gumagamit na ngayon ng mga domain ng TOR network sa halip na mga hardcoded na IP address.
Pandaigdigang Epekto: Libo-libong Router ang Nanganganib
Ang isang naka-target na paghahanap ay nagmumungkahi na higit sa 6,000 mga aparato ang naapektuhan na ng Ballista. Kabilang sa mga pinaka-mahina na rehiyon ang Brazil, Poland, United Kingdom, Bulgaria at Turkey. Dahil sa aktibong ebolusyon nito, nananatiling malaking banta ang botnet na ito sa mga hindi na-patch na router sa buong mundo.
