Ballista 殭屍網絡
一個名為 Ballista 的新型殭屍網路活動已被發現,其明確目標是未打補丁的 TP-Link Archer 路由器。網路安全研究人員發現,該殭屍網路利用遠端程式碼執行 (RCE) 漏洞 CVE-2023-1389 在網路上傳播。此高嚴重性漏洞影響 TP-Link Archer AX-21 路由器,讓攻擊者可以遠端執行命令並控制設備。
目錄
漏洞利用時間軸
主動利用的證據可以追溯到 2023 年 4 月,當時未知威脅行為者首次利用該漏洞傳播Mirai殭屍網路惡意軟體。從那時起,它就被用來傳播其他惡意軟體,包括Condi和AndroxGh0st ,進一步擴大了其傳播範圍和影響力。
攻擊如何進行
攻擊序列從惡意軟體植入器(名為「dropbpb.sh」的 shell 腳本)開始,該腳本會在目標路由器上下載並執行惡意二進位檔案。該惡意軟體設計用於在多種系統架構上運行,包括 MIPS、mipsel、armv5l、armv7l 和 x86_64。一旦安裝,它會在連接埠 82 上建立加密的命令和控制 (C2) 通道,允許攻擊者遠端控制受感染的裝置。
Ballista 殭屍網路的功能
一旦進入系統,Ballista 就能讓攻擊者執行一系列指令,包括:
- 洪水攻擊— — 發動基於洪水的拒絕服務 (DoS) 攻擊。
- 漏洞利用者- 利用 CVE-2023-1389 感染其他路由器。
- 開始——啟動開發模組。
- 關閉-停止漏洞模組。
- Shell – 在受感染的系統上執行 Linux shell 指令。
- Killall – 終止正在運行的惡意軟體服務。
此外,該惡意軟體還可以消除自身存在的痕跡,並透過尋找和利用易受攻擊的裝置自主傳播。
與義大利有關的跡象
對 Ballista 基礎設施的分析揭示了其與義大利的連結。惡意軟體二進位檔案包含義大利語字串,初始 C2 伺服器託管在義大利 IP 位址 2.237.57.70。然而,該惡意軟體似乎正在不斷發展,因為新版本現在使用 TOR 網路域而不是硬編碼 IP 位址。
全球影響:數千台路由器面臨風險
有針對性的搜尋顯示,已有超過 6,000 台設備受到 Ballista 的影響。最脆弱的地區包括巴西、波蘭、英國、保加利亞和土耳其。鑑於其活躍的發展,該殭屍網路仍對全球未修補的路由器構成重大威脅。
