Ballista 僵尸网络
一个新的僵尸网络活动 Ballista 已被发现,该活动明确针对未打补丁的 TP-Link Archer 路由器。网络安全研究人员发现,该僵尸网络利用远程代码执行 (RCE) 漏洞 CVE-2023-1389 在互联网上传播。这个高严重性漏洞影响 TP-Link Archer AX-21 路由器,允许攻击者远程执行命令并控制该设备。
目录
漏洞利用时间线
主动利用的证据可以追溯到 2023 年 4 月,当时未知威胁行为者首次利用该漏洞传播Mirai僵尸网络恶意软件。从那时起,该漏洞就被用来传播其他恶意软件,包括Condi和AndroxGh0st ,进一步扩大了其传播范围和影响力。
攻击如何进行
攻击序列始于恶意软件植入程序(名为“dropbpb.sh”的 shell 脚本),它会在目标路由器上下载并执行恶意二进制文件。该恶意软件旨在在多种系统架构上运行,包括 MIPS、mipsel、armv5l、armv7l 和 x86_64。安装后,它会在端口 82 上建立加密的命令和控制 (C2) 通道,允许攻击者远程控制受感染的设备。
Ballista 僵尸网络的功能
一旦进入系统,Ballista 就能使攻击者执行一系列命令,包括:
- 洪水攻击— — 发起基于洪水的拒绝服务 (DoS) 攻击。
- 漏洞利用者- 利用 CVE-2023-1389 感染其他路由器。
- 开始——启动开发模块。
- 关闭——停止漏洞利用模块。
- Shell – 在受感染的系统上执行 Linux shell 命令。
- Killall – 终止正在运行的恶意软件服务。
此外,该恶意软件还可以消除自身存在的痕迹,并通过寻找和利用易受攻击的设备自主传播。
与意大利有关联的迹象
对 Ballista 基础设施的分析揭示了其与意大利的联系。恶意软件二进制文件包含意大利语字符串,初始 C2 服务器托管在意大利 IP 地址 2.237.57.70。然而,该恶意软件似乎正在不断发展,因为较新的版本现在使用 TOR 网络域而不是硬编码 IP 地址。
全球影响:数千台路由器面临风险
有针对性的搜索显示,已有超过 6,000 台设备受到 Ballista 的影响。最易受攻击的地区包括巴西、波兰、英国、保加利亚和土耳其。鉴于其活跃的发展,该僵尸网络仍然对全球未打补丁的路由器构成重大威胁。
