Ботнет Ballista використовує тисячі роутерів TP-Link Archer

Компанія Cato Networks опублікувала масштабний звіт, у якому детально розібрала виявилений ботнет Ballista, що націлений на маршрутизатори TP-Link Archer. Використовуючи критичну вразливість віддаленого виконання коду (CVE-2023-1389), цей ботнет імплементує схему атаки, яка починається з завантаження шкідливого ПЗ.

 

Початкове завантаження містить bash-скрипт, з допомогою якого вже підвантажується основний шкідливий модуль з сервера зловмисника. Після цього встановлюється повні права доступу до файлу шкідливого ПЗ і запускає його у фоновому режимі і встановлює канал управління, захищений шифруванням TLS.

Завдяки цьому зловмисники можуть ініціювати DDoS‑атаки. Причому шкідлива програма також вміє видаляти свої сліди і заражати інші маршрутизатори.

 

Інженери Cato вважають, що за розробкою ботнету Ballista стоїть кіберпреступники з Італії. 

 

Дослідники вважають, що атаки нового ботнету спрямовані на компанії зі США, Австралії та Китаю у сфері охорони здоровʼя та виробництва. Більшість заражених пристроїв, а мова йде щонайменше про 6 тис пристроїв TP-Link, знаходяться в Бразилії, Великій Британії, Болгарії, Польщі та Туреччині.