Mạng lưới máy tính Ballista

Một chiến dịch botnet mới có tên Ballista đã được xác định, nhắm mục tiêu rõ ràng vào các bộ định tuyến TP-Link Archer chưa được vá. Các nhà nghiên cứu an ninh mạng đã phát hiện ra rằng botnet lợi dụng lỗ hổng thực thi mã từ xa (RCE)—CVE-2023-1389—để lan truyền trên Internet. Lỗ hổng nghiêm trọng này ảnh hưởng đến các bộ định tuyến TP-Link Archer AX-21, cho phép kẻ tấn công thực hiện lệnh từ xa và kiểm soát thiết bị.

Dòng thời gian của sự khai thác

Bằng chứng về việc khai thác tích cực có từ tháng 4 năm 2023, khi các tác nhân đe dọa chưa xác định lần đầu tiên sử dụng lỗ hổng để phân phối phần mềm độc hại botnet Mirai . Kể từ đó, nó đã được sử dụng để phát tán các chủng phần mềm độc hại khác, bao gồm Condi và AndroxGh0st , tiếp tục gia tăng phạm vi và tác động của nó.

Cuộc tấn công diễn ra như thế nào

Chuỗi tấn công bắt đầu bằng một trình thả phần mềm độc hại—một tập lệnh shell có tên 'dropbpb.sh'—tải xuống và thực thi một tệp nhị phân độc hại trên các bộ định tuyến mục tiêu. Phần mềm độc hại được thiết kế để chạy trên nhiều kiến trúc hệ thống, bao gồm MIPS, mipsel, armv5l, armv7l và x86_64. Sau khi cài đặt, nó thiết lập một kênh Command-and-Control (C2) được mã hóa trên cổng 82, cho phép kẻ tấn công điều khiển từ xa thiết bị bị nhiễm.

Khả năng của mạng bot Ballista

Khi đã xâm nhập vào hệ thống, Ballista cho phép kẻ tấn công thực hiện một loạt lệnh, bao gồm:

• Flooder – Phát động cuộc tấn công từ chối dịch vụ (DoS) dựa trên cơ chế tràn ngập.
• Kẻ khai thác – Khai thác CVE-2023-1389 để lây nhiễm các bộ định tuyến bổ sung.
• Bắt đầu – Khởi tạo mô-đun khai thác.
• Đóng – Dừng mô-đun khai thác.
• Shell – Thực thi các lệnh shell Linux trên hệ thống bị nhiễm.
• Killall – Chấm dứt dịch vụ phần mềm độc hại đang chạy.

Ngoài ra, phần mềm độc hại có thể xóa dấu vết hiện diện của chính nó và tự động lây lan bằng cách tìm kiếm và khai thác các thiết bị dễ bị tấn công.

Dấu hiệu của một kết nối Ý

Phân tích cơ sở hạ tầng của Ballista cho thấy một liên kết tiếng Ý. Các tệp nhị phân phần mềm độc hại chứa các chuỗi ngôn ngữ tiếng Ý và máy chủ C2 ban đầu được lưu trữ tại 2.237.57.70, một địa chỉ IP của Ý. Tuy nhiên, phần mềm độc hại dường như đang được phát triển liên tục, vì các phiên bản mới hơn hiện sử dụng tên miền mạng TOR thay vì địa chỉ IP được mã hóa cứng.

Tác động toàn cầu: Hàng ngàn bộ định tuyến có nguy cơ

Một tìm kiếm có mục tiêu cho thấy hơn 6.000 thiết bị đã bị Ballista ảnh hưởng. Các khu vực dễ bị tấn công nhất bao gồm Brazil, Ba Lan, Vương quốc Anh, Bulgaria và Thổ Nhĩ Kỳ. Với sự phát triển tích cực của nó, botnet này vẫn là mối đe dọa đáng kể đối với các bộ định tuyến chưa được vá trên toàn thế giới.