Ботнет Ballista
Была обнаружена новая ботнет-кампания под названием Ballista, явно нацеленная на непатченные маршрутизаторы TP-Link Archer. Исследователи кибербезопасности обнаружили, что ботнет использует уязвимость удаленного выполнения кода (RCE) — CVE-2023-1389 — для распространения по Интернету. Эта серьезная уязвимость затрагивает маршрутизаторы TP-Link Archer AX-21, позволяя злоумышленникам удаленно выполнять команды и получать контроль над устройством.
Оглавление
Хронология эксплуатации
Доказательства активной эксплуатации относятся к апрелю 2023 года, когда неизвестные субъекты угроз впервые использовали уязвимость для распространения вредоносного ПО ботнета Mirai . С тех пор она использовалась для распространения других штаммов вредоносного ПО, включая Condi и AndroxGh0st , что еще больше увеличило ее охват и влияние.
Как работает атака
Последовательность атаки начинается с вредоносного дроппера — скрипта оболочки с именем «dropbpb.sh», который загружает и запускает вредоносный двоичный файл на целевых маршрутизаторах. Вредоносное ПО предназначено для работы на нескольких системных архитектурах, включая MIPS, mipsel, armv5l, armv7l и x86_64. После установки оно устанавливает зашифрованный канал Command-and-Control (C2) на порту 82, что позволяет злоумышленникам удаленно управлять зараженным устройством.
Возможности ботнета Ballista
Попав внутрь системы, Ballista позволяет злоумышленникам выполнять ряд команд, в том числе:
- Flooder — запускает атаку типа «отказ в обслуживании» (DoS) на основе потока.
- Эксплуататор — использует уязвимость CVE-2023-1389 для заражения дополнительных маршрутизаторов.
- Запуск – запуск модуля эксплуататора.
- Закрыть – останавливает работу эксплойт-модуля.
- Shell – выполняет команды оболочки Linux на зараженной системе.
- Killall – завершает работу вредоносной службы.
Кроме того, вредоносная программа может стирать следы своего присутствия и распространяться автономно, выискивая и эксплуатируя уязвимые устройства.
Признаки итальянской связи
Анализ инфраструктуры Ballista выявил итальянскую связь. Двоичные файлы вредоносного ПО содержат строки на итальянском языке, а первоначальный сервер C2 был размещен на 2.237.57.70, итальянском IP-адресе. Однако вредоносное ПО, по-видимому, находится в стадии непрерывной разработки, поскольку более новые версии теперь используют домены сети TOR вместо жестко закодированных IP-адресов.
Глобальное воздействие: тысячи маршрутизаторов под угрозой
Целевой поиск показывает, что Ballista уже затронула более 6000 устройств. Наиболее уязвимыми регионами являются Бразилия, Польша, Великобритания, Болгария и Турция. Учитывая его активное развитие, этот ботнет остается значительной угрозой для непропатченных маршрутизаторов по всему миру.
