Уязвимые роутеры TP-Link Archer стали мишенью новой ботнет-кампании Ballista, о чём сообщили исследователи из компании Cato Networks. Вредоносная сеть использует уязвимость CVE-2023-1389, которая позволяет злоумышленникам выполнять произвольный код на необновлённых устройствах. Эта критическая уязвимость, затрагивающая TP-Link Archer AX-21, позволяет внедрять команды и удалённо управлять устройством.

Первые признаки эксплуатации этой уязвимости были зафиксированы ещё в апреле 2023 года, когда злоумышленники начали использовать ботнет Mirai. Вскоре после этого уязвимость также использовалась для распространения других вредоносных программ, таких как Condi и AndroxGh0st. Специалисты Cato впервые выявили активность Ballista 10 января 2025 года, а последнее зафиксированное нападение произошло 17 февраля.

Атака начинается с загрузки вредоносного скрипта “dropbpb.sh”, который запускает исполняемый файл, адаптированный под различные архитектуры, такие как mips, arm и x86_64. После установки вредоносного ПО создаётся зашифрованный канал управления через порт 82, что позволяет злоумышленникам запускать команды для дальнейших атак, включая удалённое выполнение кода и атаки отказа в обслуживании (DoS).

Одной из опасностей Ballista является то, что он может удалять свои следы, завершать ранее запущенные копии себя и распространяться на другие устройства через ту же уязвимость. Исследователи отметили, что в коде вредоносного ПО содержатся строки с итальянскими комментариями, а также итальянский IP-адрес управления (2.237.57[.]70), что может указывать на происхождение злоумышленников.

По данным Censys, более 6000 устройств уже заражены Ballista, и вспышки активности ботнета зафиксированы в Бразилии, Польше, Великобритании, Болгарии и Турции. Атакованные компании относятся к различным сферам, включая производство, здравоохранение и технологии в США, Австралии, Китае и Мексике.

Хотя Ballista имеет сходства с другими ботнетами, такими как Mirai и Mozi, он представляет собой самостоятельную угрозу, что подчёркивает его активное развитие и потенциал для дальнейших атак. “Ботнет использует уязвимость удаленного выполнения кода (RCE) в маршрутизаторах TP-Link Archer (CVE-2023-1389) для автоматического распространения”, — сообщают исследователи.

Уязвимость CVE-2023-1389 была изначально обнаружена на хакерском соревновании Pwn2Own в декабре 2022 года, и разработчики TP-Link устранили её в марте 2023 года. Однако, к сожалению, исправление не установили все пользователи. Эксперты Cato Networks предупреждают, что ботнет Ballista продолжает представлять опасность и уязвимость остаётся актуальной.

От Дмитрий Соколов

Гик-писака🤓