Специалисты компании Cato Networks обнаружили новую масштабную кампанию ботнета Ballista, нацеленную на эксплуатацию критической уязвимости в маршрутизаторах TP-Link Archer. Вредоносная активность затрагивает более 6000 устройств по всему миру, преимущественно в производственном, медицинском и технологическом секторах.
Технические детали уязвимости и механизм атаки
Уязвимость CVE-2023-1389, обнаруженная на соревновании Pwn2Own в декабре 2022 года, позволяет злоумышленникам осуществлять удаленное выполнение кода на маршрутизаторах TP-Link Archer AX-21. Несмотря на выпуск патча в марте 2023 года (прошивка 1.1.4 Build 20230219), значительное количество устройств остается уязвимым для атак.
Механизм работы ботнета Ballista
Вредоносное ПО распространяется через дроппер dropbpb.sh, который загружает основной бинарный файл на целевое устройство. Малварь поддерживает различные аппаратные архитектуры, включая mips, mipsel, armv5l, armv7l и x86_64. После заражения устанавливается зашифрованный канал связи с командным центром через порт 82.
Основные возможности вредоносного ПО
Функционал Ballista включает:
- Удаленное выполнение команд
- Проведение DDoS-атак
- Доступ к конфиденциальным файлам
- Автоматическое распространение через уязвимость CVE-2023-1389
- Механизмы маскировки для избежания обнаружения
География распространения и целевые сектора
Наибольшее количество заражений зафиксировано в Бразилии, Польше, Великобритании, Болгарии и Турции. Основными целями становятся организации в США, Австралии, Китае и Мексике. Анализ кода и инфраструктуры указывает на возможную связь с итальянскими киберпреступниками.
Эксперты отмечают, что ботнет находится в активной стадии развития. Последние образцы малвари демонстрируют переход от использования статических IP-адресов к более продвинутой инфраструктуре на базе сети Tor, что существенно усложняет обнаружение и блокировку вредоносной активности. Владельцам маршрутизаторов TP-Link Archer настоятельно рекомендуется незамедлительно обновить прошивку устройств до актуальной версии для предотвращения возможного заражения.
