Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Botnets Ballista Botnet

Ballista Botnet

Μέχρι το Mezo το Botnets
Μετάφραση σε:
Ελληνικά

Εντοπίστηκε μια νέα καμπάνια botnet με την ονομασία Ballista, η οποία στοχεύει ρητά τους μη επιδιορθωμένους δρομολογητές TP-Link Archer. Οι ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν ότι το botnet εκμεταλλεύεται μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) —CVE-2023-1389—για να διαδοθεί στο Διαδίκτυο. Αυτό το υψηλής σοβαρότητας ελάττωμα επηρεάζει τους δρομολογητές TP-Link Archer AX-21, επιτρέποντας στους εισβολείς να εκτελούν εντολές από απόσταση και να αναλαμβάνουν τον έλεγχο της συσκευής.

Χρονοδιάγραμμα εκμετάλλευσης

Τα στοιχεία ενεργητικής εκμετάλλευσης χρονολογούνται από τον Απρίλιο του 2023, όταν άγνωστοι παράγοντες απειλών χρησιμοποίησαν για πρώτη φορά την ευπάθεια για να διανείμουν κακόβουλο λογισμικό botnet Mirai . Έκτοτε, έχει αξιοποιηθεί για τη διάδοση άλλων τύπων κακόβουλου λογισμικού, συμπεριλαμβανομένων των Condi και AndroxGh0st , αυξάνοντας περαιτέρω την εμβέλεια και τον αντίκτυπό του.

Πώς λειτουργεί η επίθεση

Η ακολουθία επίθεσης ξεκινά με ένα σταγονόμετρο κακόβουλου λογισμικού—ένα σενάριο φλοιού με το όνομα «dropbpb.sh»—το οποίο κατεβάζει και εκτελεί ένα κακόβουλο δυαδικό αρχείο σε στοχευμένους δρομολογητές. Το κακόβουλο λογισμικό έχει σχεδιαστεί για να εκτελείται σε πολλαπλές αρχιτεκτονικές συστήματος, συμπεριλαμβανομένων των MIPS, mipsel, armv5l, armv7l και x86_64. Μόλις εγκατασταθεί, δημιουργεί ένα κρυπτογραφημένο κανάλι Command-and-Control (C2) στη θύρα 82, επιτρέποντας στους εισβολείς να ελέγχουν εξ αποστάσεως τη μολυσμένη συσκευή.

Δυνατότητες του Ballista Botnet

Μόλις εισέλθει σε ένα σύστημα, το Ballista επιτρέπει στους εισβολείς να εκτελέσουν μια σειρά από εντολές, όπως:

  • Flooder – Εκκινεί μια επίθεση άρνησης υπηρεσίας (DoS) που βασίζεται σε πλημμύρα.
  • Exploiter – Εκμεταλλεύεται το CVE-2023-1389 για να μολύνει πρόσθετους δρομολογητές.
  • Έναρξη – Εκκινεί τη λειτουργική μονάδα εκμετάλλευσης.
  • Κλείσιμο – Διακόπτει τη μονάδα εκμετάλλευσης.
  • Shell – Εκτελεί εντολές κελύφους Linux στο μολυσμένο σύστημα.
  • Killall – Τερματίζει την τρέχουσα υπηρεσία κακόβουλου λογισμικού.

Επιπλέον, το κακόβουλο λογισμικό μπορεί να διαγράψει τα ίχνη της δικής του παρουσίας και να εξαπλωθεί αυτόνομα αναζητώντας και εκμεταλλευόμενος ευάλωτες συσκευές.

Σημάδια ιταλικής σύνδεσης

Μια ανάλυση της υποδομής του Ballista αποκαλύπτει έναν ιταλικό σύνδεσμο. Τα δυαδικά αρχεία κακόβουλου λογισμικού περιέχουν συμβολοσειρές ιταλικής γλώσσας και ο αρχικός διακομιστής C2 φιλοξενήθηκε στο 2.237.57.70, μια ιταλική διεύθυνση IP. Ωστόσο, το κακόβουλο λογισμικό φαίνεται να βρίσκεται υπό συνεχή ανάπτυξη, καθώς οι νεότερες εκδόσεις χρησιμοποιούν πλέον τομείς δικτύου TOR αντί για διευθύνσεις IP με σκληρό κώδικα.

Παγκόσμιος αντίκτυπος: Χιλιάδες δρομολογητές σε κίνδυνο

Μια στοχευμένη αναζήτηση δείχνει ότι πάνω από 6.000 συσκευές έχουν ήδη επηρεαστεί από το Ballista. Οι πιο ευάλωτες περιοχές περιλαμβάνουν τη Βραζιλία, την Πολωνία, το Ηνωμένο Βασίλειο, τη Βουλγαρία και την Τουρκία. Δεδομένης της ενεργού εξέλιξής του, αυτό το botnet παραμένει μια σημαντική απειλή για τους μη επιδιορθωμένους δρομολογητές παγκοσμίως.

Τάσεις

PayPal - Προσθέσατε μια νέα απάτη μέσω email

Phishing, Ανεπιθύμητη αλληλογραφία
Ο ψηφιακός κόσμος είναι γεμάτος από παραπλανητικά σχέδια που έχουν σχεδιαστεί για να χειραγωγούν τους χρήστες ώστε να δίνουν ευαίσθητες πληροφορίες ή να εγκαταστήσουν μη ασφαλές λογισμικό. Οι εγκληματίες του κυβερνοχώρου υποδύονται συχνά γνωστές εταιρείες, όπως το PayPal, για να κάνουν τις απάτες τους να φαίνονται αξιόπιστες. Μια τέτοια δόλια καμπάνια, γνωστή ως απάτη «PayPal - Προσθέσατε μια...

Plebeianness.app

Adware, Κακόβουλο λογισμικό Mac, Πιθανώς ανεπιθύμητα προγράμματα
Ο κόσμος της κυβερνοασφάλειας εξελίσσεται διαρκώς και ακόμη και οι χρήστες Mac δεν έχουν ανοσία στις απειλές που θέτει το μη ασφαλές λογισμικό. Ένας τέτοιος ταραχοποιός που έχει αποκτήσει φήμη τον...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
23,691
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...