Ballista僵尸网络：6000+ TP-Link设备遭大规模感染

根据Cato CTRL团队的最新发现，未修复的TP-Link Archer路由器已成为名为Ballista的新僵尸网络活动的目标。

安全研究人员Ofek Vardi和Matan Mittelman在与The Hacker News分享的技术报告中表示：“该僵尸网络利用TP-Link Archer路由器中的远程代码执行（RCE）漏洞（CVE-2023-1389）在互联网上自动传播。”

CVE-2023-1389是一个影响TP-Link Archer AX-21路由器的高危安全漏洞，可能导致命令注入，从而为远程代码执行做好准备。

该漏洞被积极利用的最早证据可以追溯到2023年4月，当时未知的威胁行为者利用它投放Mirai僵尸网络恶意软件。此后，该漏洞还被滥用来传播其他恶意软件家族，如Condi和AndroxGh0st。

Cato CTRL表示，他们在2025年1月10日检测到了Ballista活动。最近的利用尝试记录于2月17日。

攻击过程涉及使用一个恶意软件投放器，即一个名为“dropbpb.sh”的Shell脚本，该脚本旨在为目标系统的各种架构（如mips、mipsel、armv5l、armv7l和x86_64）获取并执行主二进制文件。

一旦执行，恶意软件会在端口82上建立一个加密的命令与控制（C2）通道，以控制设备。

研究人员表示：“这使得攻击者能够运行Shell命令以进行进一步的远程代码执行（RCE）和拒绝服务（DoS）攻击。此外，恶意软件还试图读取本地系统上的敏感文件。”

以下列出了一些支持的命令：

• flooder：触发洪水攻击
• exploiter：利用CVE-2023-1389漏洞
• start：与exploiter一起使用的可选参数，用于启动模块
• close：停止模块触发功能
• shell：在本地系统上运行Linux Shell命令
• killall：用于终止服务

此外，它能够在执行开始后终止自身的先前实例并清除其存在痕迹。它还设计通过尝试利用该漏洞传播到其他路由器。

网络安全公司表示，C2 IP地址位置（2.237.57[.]70）的使用以及恶意软件二进制文件中意大利语字符串的存在表明，可能涉及一个未知的意大利威胁行为者。

尽管如此，鉴于该IP地址已不再有效，并且存在一个新的投放器变种（使用TOR网络域名而非硬编码的IP地址），该恶意软件似乎正在积极开发中。

在攻击面管理平台Censys上的搜索显示，超过6,000台设备感染了Ballista。感染主要集中在巴西、波兰、英国、保加利亚和土耳其。

该僵尸网络被发现针对美国、澳大利亚、中国和墨西哥的制造业、医疗/健康、服务和技术组织。

研究人员表示：“虽然该恶意软件样本与其他僵尸网络有相似之处，但它与广泛使用的僵尸网络（如Mirai和Mozi）仍有明显区别。”