В течение последних нескольких лет крупные IoT-ботнеты, такие как Mirai и Mozi, показали, насколько легко эксплуатировать маршрутизаторы. Изначально уязвимости редко обновляются, а производители маршрутизаторов неудовлетворительно заботятся о безопасности. Это позволяет уязвимостям существовать гораздо дольше, чем ожидалось, даже после исправлений.
Ballista Botnet
С начала 2025 года Cato CTRL наблюдала глобальную кампанию атаки IoT-ботнета, направленную на маршрутизаторы TP-Link Archer. Ботнет использует уязвимость удаленного выполнения кода (RCE) в этих маршрутизаторах для распространения через Интернет. TP-Link недавно столкнулась с проблемами безопасности, связанными с Китаем, и возник вопрос о запрете ее устройств американскими правительственными агентствами. Анализ показал, что ботнет продолжает развиваться и становится более скрытым с использованием доменов Tor.
Ботнет использует уязвимость удаленного выполнения кода (RCE) в маршрутизаторах TP-Link Archer (CVE-2023-1389) для автоматического распространения через Интернет.
Ботнет Ballista, как его называют из-за связей с Италией и маршрутизаторами TP-Link Archer, атаковал различные организации в США, Австралии, Китае и Мексике. Ботнет все еще активен и уязвимых устройств, подключенных к Интернету, обнаружено более 6 000.
Анализ дроппера ботнета Ballista показал, что он использует bash-скрипт для загрузки дроппера с сервера злоумышленника на маршрутизаторы TP-Link Archer. После этого вредоносное ПО устанавливает зашифрованный командный канал управления на порту 82, что дает возможность проводить различные атаки, включая DoS-атаки.
Предполагается, что базирующийся в Италии злоумышленник связан с этой кампанией на основе IP-адреса и найденных вредоносном ПО итальянских строк. Ботнет Ballista продолжает представлять угрозу для множества организаций, и анализ его функциональности показывает различные способы атаки, включая удаление предыдущих экземпляров и распространение на другие устройства в Интернете.
Indicators of Compromise
IPv4
- 2.237.57.70
SHA256
- 3582fb08532a5a5c715a65787c30c89f90449fb014c04ede9c488eb010c52d02
- 72ef87125a1818dd20ce616cab622a7614fcb5cfcf9146465c8280a89f2c85f0
- ab5e045a74fa46aabef10a1473eba51c6166638e807aa7e3abeb701463975697
- accede01b73348e0d2dc306f024f7c979758892f66fb2a550f4f1089d92549f4
- d7723361ca455d8a1a9714ea4b80013f77b764cb721ad151a310e23e3b4610a8
- f1a4c0bc9fc227071e443706d28ee6deea2ebcbb7a06b7e4055644ba0cde7cfb
- fca22a82fa3f51b40ef0cffd8752b25f876f162061c342097cf4d93531ff1221