全文共计936字,预计阅读5分钟
根据Cato CTRL团队的最新发现,未修复的TP-Link Archer路由器已成为名为Ballista的新僵尸网络活动的目标。
安全研究人员Ofek Vardi和Matan Mittelman在与The Hacker News分享的技术报告中表示:“该僵尸网络利用TP-Link Archer路由器中的远程代码执行(RCE)漏洞(CVE-2023-1389)在互联网上自动传播。”
CVE-2023-1389是一个影响TP-Link Archer AX-21路由器的高危安全漏洞,可能导致命令注入,从而为远程代码执行做好准备。
该漏洞被积极利用的最早证据可以追溯到2023年4月,当时未知的威胁行为者利用它投放Mirai僵尸网络恶意软件。此后,该漏洞还被滥用来传播其他恶意软件家族,如Condi和AndroxGh0st。
Cato CTRL表示,他们在2025年1月10日检测到了Ballista活动。最近的利用尝试记录于2月17日。
攻击过程涉及使用一个恶意软件投放器,即一个名为“dropbpb.sh”的Shell脚本,该脚本旨在为目标系统的各种架构(如mips、mipsel、armv5l、armv7l和x86_64)获取并执行主二进制文件。
一旦执行,恶意软件会在端口82上建立一个加密的命令与控制(C2)通道,以控制设备。
研究人员表示:“这使得攻击者能够运行Shell命令以进行进一步的远程代码执行(RCE)和拒绝服务(DoS)攻击。此外,恶意软件还试图读取本地系统上的敏感文件。”
以下列出了一些支持的命令:
-
flooder:触发洪水攻击 -
exploiter:利用CVE-2023-1389漏洞 -
start:与exploiter一起使用的可选参数,用于启动模块 -
close:停止模块触发功能 -
shell:在本地系统上运行Linux Shell命令 -
killall:用于终止服务
此外,它能够在执行开始后终止自身的先前实例并清除其存在痕迹。它还设计通过尝试利用该漏洞传播到其他路由器。
网络安全公司表示,C2 IP地址位置(2.237.57[.]70)的使用以及恶意软件二进制文件中意大利语字符串的存在表明,可能涉及一个未知的意大利威胁行为者。
尽管如此,鉴于该IP地址已不再有效,并且存在一个新的投放器变种(使用TOR网络域名而非硬编码的IP地址),该恶意软件似乎正在积极开发中。
在攻击面管理平台Censys上的搜索显示,超过6,000台设备感染了Ballista。感染主要集中在巴西、波兰、英国、保加利亚和土耳其。
该僵尸网络被发现针对美国、澳大利亚、中国和墨西哥的制造业、医疗/健康、服务和技术组织。
研究人员表示:“虽然该恶意软件样本与其他僵尸网络有相似之处,但它与广泛使用的僵尸网络(如Mirai和Mozi)仍有明显区别。”
请关注SecLink安全空间获取我们最新的更新
欢迎加入SecLink安全空间企业微信探讨安全问题!
原文始发于微信公众号(SecLink安全空间):Ballista僵尸网络:6000+ TP-Link设备遭大规模感染
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论