Ballista僵尸网络:6000+ TP-Link设备遭大规模感染

admin 2025年3月24日22:53:15评论21 views字数 1266阅读4分13秒阅读模式

Ballista僵尸网络:6000+ TP-Link设备遭大规模感染

全文共计936字,预计阅读5分钟

根据Cato CTRL团队的最新发现,未修复的TP-Link Archer路由器已成为名为Ballista的新僵尸网络活动的目标。

安全研究人员Ofek Vardi和Matan Mittelman在与The Hacker News分享的技术报告中表示:“该僵尸网络利用TP-Link Archer路由器中的远程代码执行(RCE)漏洞(CVE-2023-1389)在互联网上自动传播。”

CVE-2023-1389是一个影响TP-Link Archer AX-21路由器的高危安全漏洞,可能导致命令注入,从而为远程代码执行做好准备。

该漏洞被积极利用的最早证据可以追溯到2023年4月,当时未知的威胁行为者利用它投放Mirai僵尸网络恶意软件。此后,该漏洞还被滥用来传播其他恶意软件家族,如CondiAndroxGh0st

Cato CTRL表示,他们在2025年1月10日检测到了Ballista活动。最近的利用尝试记录于2月17日。

攻击过程涉及使用一个恶意软件投放器,即一个名为“dropbpb.sh”的Shell脚本,该脚本旨在为目标系统的各种架构(如mips、mipsel、armv5l、armv7l和x86_64)获取并执行主二进制文件。

一旦执行,恶意软件会在端口82上建立一个加密的命令与控制(C2)通道,以控制设备。

研究人员表示:“这使得攻击者能够运行Shell命令以进行进一步的远程代码执行(RCE)和拒绝服务(DoS)攻击。此外,恶意软件还试图读取本地系统上的敏感文件。”

以下列出了一些支持的命令:

  • flooder:触发洪水攻击
  • exploiter:利用CVE-2023-1389漏洞
  • start:与exploiter一起使用的可选参数,用于启动模块
  • close:停止模块触发功能
  • shell:在本地系统上运行Linux Shell命令
  • killall:用于终止服务

此外,它能够在执行开始后终止自身的先前实例并清除其存在痕迹。它还设计通过尝试利用该漏洞传播到其他路由器。

网络安全公司表示,C2 IP地址位置(2.237.57[.]70)的使用以及恶意软件二进制文件中意大利语字符串的存在表明,可能涉及一个未知的意大利威胁行为者。

尽管如此,鉴于该IP地址已不再有效,并且存在一个新的投放器变种(使用TOR网络域名而非硬编码的IP地址),该恶意软件似乎正在积极开发中。

在攻击面管理平台Censys上的搜索显示,超过6,000台设备感染了Ballista。感染主要集中在巴西、波兰、英国、保加利亚和土耳其。

该僵尸网络被发现针对美国、澳大利亚、中国和墨西哥的制造业、医疗/健康、服务和技术组织。

研究人员表示:“虽然该恶意软件样本与其他僵尸网络有相似之处,但它与广泛使用的僵尸网络(如Mirai和Mozi)仍有明显区别。”

请关注SecLink安全空间获取我们最新的更新

欢迎加入SecLink安全空间企业微信探讨安全问题!

Ballista僵尸网络:6000+ TP-Link设备遭大规模感染

原文始发于微信公众号(SecLink安全空间):Ballista僵尸网络:6000+ TP-Link设备遭大规模感染

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月24日22:53:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Ballista僵尸网络:6000+ TP-Link设备遭大规模感染https://cn-sec.com/archives/3880256.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息