Mancınık Botnet
Ballista adlı yeni bir botnet kampanyası tespit edildi ve bu kampanya yama uygulanmamış TP-Link Archer yönlendiricilerini açıkça hedef alıyor. Siber güvenlik araştırmacıları, botnetin İnternet genelinde yayılmak için Uzaktan Kod Yürütme (RCE) açığından—CVE-2023-1389—yararlandığını buldu. Bu yüksek öneme sahip kusur, TP-Link Archer AX-21 yönlendiricilerini etkileyerek saldırganların uzaktan komutlar yürütmesine ve cihazın kontrolünü ele geçirmesine olanak tanıyor.
İçindekiler
Sömürü Zaman Çizelgesi
Aktif istismara dair kanıtlar, bilinmeyen tehdit aktörlerinin ilk olarak Mirai botnet kötü amaçlı yazılımını dağıtmak için bu güvenlik açığını kullandığı Nisan 2023'e kadar uzanıyor. O zamandan beri, Condi ve AndroxGh0st dahil olmak üzere diğer kötü amaçlı yazılım türlerini yaymak için kullanıldı ve erişimi ve etkisi daha da arttı.
Saldırı Nasıl Çalışır?
Saldırı dizisi, hedeflenen yönlendiricilerde kötü amaçlı bir ikili dosyayı indirip çalıştıran bir kötü amaçlı yazılım düşürücüsüyle ('dropbpb.sh' adlı bir kabuk betiği) başlar. Kötü amaçlı yazılım, MIPS, mipsel, armv5l, armv7l ve x86_64 dahil olmak üzere birden fazla sistem mimarisinde çalışacak şekilde tasarlanmıştır. Kurulduktan sonra, 82 numaralı bağlantı noktasında şifrelenmiş bir Komuta ve Kontrol (C2) kanalı kurarak saldırganların enfekte cihazı uzaktan kontrol etmelerine olanak tanır.
Ballista Botnet'in Yetenekleri
Ballista, bir sistemin içine girdikten sonra saldırganların aşağıdakiler de dahil olmak üzere bir dizi komutu yürütmesini sağlar:
- Flooder – Flood tabanlı bir hizmet reddi (DoS) saldırısı başlatır.
- Exploiter – Ek yönlendiricileri enfekte etmek için CVE-2023-1389'u kullanır.
- Başlat – İstismarcı modülünü başlatır.
- Kapat – Exploit modülünü durdurur.
- Kabuk – Virüslü sistemde Linux kabuk komutlarını çalıştırır.
- Killall – Çalışan kötü amaçlı yazılım servisini sonlandırır.
Ayrıca kötü amaçlı yazılım kendi varlığının izlerini silebilir ve savunmasız cihazları arayıp istismar ederek otonom bir şekilde yayılabilir.
İtalyan Bağlantısının İşaretleri
Ballista'nın altyapısının analizi İtalyan bağlantısını ortaya koyuyor. Kötü amaçlı yazılım ikili dosyaları İtalyan dil dizeleri içeriyor ve ilk C2 sunucusu 2.237.57.70'te, bir İtalyan IP adresinde barındırılıyordu. Ancak, kötü amaçlı yazılımın sürekli geliştirildiği anlaşılıyor, çünkü daha yeni sürümler artık sabit kodlanmış IP adresleri yerine TOR ağ etki alanlarını kullanıyor.
Küresel Etki: Binlerce Yönlendirici Risk Altında
Hedefli bir arama, 6.000'den fazla cihazın Ballista'dan etkilendiğini gösteriyor. En savunmasız bölgeler arasında Brezilya, Polonya, Birleşik Krallık, Bulgaristan ve Türkiye yer alıyor. Aktif evrimi göz önüne alındığında, bu botnet dünya çapında yama uygulanmamış yönlendiriciler için önemli bir tehdit olmaya devam ediyor.
