Ботнет Ballista
Виявлено нову ботнет-кампанію під назвою Ballista, яка явно націлена на невиправлені маршрутизатори TP-Link Archer. Дослідники кібербезпеки виявили, що ботнет використовує вразливість Remote Code Execution (RCE) — CVE-2023-1389 — для поширення в Інтернеті. Ця серйозна помилка впливає на маршрутизатори TP-Link Archer AX-21, дозволяючи зловмисникам виконувати команди віддалено та контролювати пристрій.
Зміст
Хронологія експлуатації
Докази активної експлуатації датуються квітнем 2023 року, коли невідомі зловмисники вперше використали вразливість для поширення шкідливого програмного забезпечення ботнету Mirai . Відтоді його використовували для розповсюдження інших штамів зловмисного програмного забезпечення, зокрема Condi та AndroxGh0st , що ще більше збільшує його охоплення та вплив.
Як працює атака
Послідовність атаки починається зі зловмисного програмного забезпечення — сценарію оболонки під назвою «dropbpb.sh», — який завантажує та виконує шкідливий двійковий файл на цільових маршрутизаторах. Зловмисне програмне забезпечення розроблено для роботи на кількох системних архітектурах, включаючи MIPS, mipsel, armv5l, armv7l і x86_64. Після встановлення він встановлює зашифрований канал керування (C2) на порт 82, що дозволяє зловмисникам віддалено керувати зараженим пристроєм.
Можливості ботнету Ballista
Потрапивши в систему, Ballista дозволяє зловмисникам виконувати низку команд, зокрема:
- Flooder – запускає атаку типу «відмова в обслуговуванні» (DoS) на основі флуду.
- Експлуататор – використовує CVE-2023-1389 для зараження додаткових маршрутизаторів.
- Пуск – ініціює модуль експлуатації.
- Закрити – зупиняє модуль експлойту.
- Оболонка – виконує команди оболонки Linux в зараженій системі.
- Killall – завершує запущену службу зловмисного програмного забезпечення.
Крім того, зловмисне програмне забезпечення може стирати сліди власної присутності та поширюватися автономно, шукаючи та використовуючи вразливі пристрої.
Ознаки італійського зв'язку
Аналіз інфраструктури Ballista показує італійський зв’язок. Двійкові файли зловмисного програмного забезпечення містять рядки італійською мовою, а початковий сервер C2 був розміщений за адресою 2.237.57.70, італійською IP-адресою. Однак, схоже, зловмисне програмне забезпечення постійно розробляється, оскільки нові версії тепер використовують мережеві домени TOR замість жорстко закодованих IP-адрес.
Глобальний вплив: тисячі маршрутизаторів під загрозою
Цільовий пошук показує, що Ballista вже вразила понад 6000 пристроїв. До найбільш уразливих регіонів належать Бразилія, Польща, Велика Британія, Болгарія та Туреччина. З огляду на його активну еволюцію, цей ботнет залишається значною загрозою для невиправлених маршрутизаторів у всьому світі.
