根据 Cato CTRL 团队的最新发现,未修补的 TP-Link Archer 路由器已成为名为 Ballista 的新僵尸网络活动的目标。
安全研究人员 Ofek Vardi 和 Matan Mittelman 在技术报告中表示:“该僵尸网络利用 TP-Link Archer 路由器中的远程代码执行 (RCE) 漏洞 (CVE-2023-1389) 自动在互联网上传播。”
CVE-2023-1389是一个高严重性安全漏洞,影响 TP-Link Archer AX-21 路由器,可能导致命令注入,从而为远程代码执行铺平道路。
该漏洞被积极利用的最早证据可以追溯到 2023 年 4 月,当时身份不明的威胁行为者利用它来投放 Mirai 僵尸网络恶意软件。从那时起,该漏洞还被滥用来传播其他恶意软件家族,如Condi和AndroxGh0st。
Cato CTRL 表示,它于 2025 年 1 月 10 日检测到了 Ballista 活动。最近一次利用尝试记录在 2 月 17 日。
攻击序列需要使用恶意软件投放器、shell 脚本(“dropbpb.sh”),该脚本旨在获取并执行目标系统上针对各种系统架构(如 mips、mipsel、armv5l、armv7l 和 x86_64)的主二进制文件。
一旦执行,恶意软件就会在端口 82 上建立加密的命令和控制 (C2) 通道,以控制设备。
研究人员表示:“这允许运行 shell 命令来实施进一步的 RCE 和拒绝服务 (DoS) 攻击。此外,该恶意软件还会尝试读取本地系统上的敏感文件。”
下面列出了一些受支持的命令 -
- flooder,引发洪水攻击
- exploiter,利用 CVE-2023-1389 的漏洞利用者
- start,与利用程序一起使用来启动模块的可选参数
- close,停止模块触发功能
- shell,在本地系统上运行 Linux shell 命令。
- killall,用于终止服务
此外,它能够终止自身的先前实例,并在执行开始后抹去自身的存在。它还旨在通过尝试利用此漏洞传播到其他路由器。
该网络安全公司表示,恶意软件二进制文件中 C2 IP 地址位置(2.237.57[.]70)的使用和意大利语字符串的存在表明有未知的意大利威胁行为者参与。
话虽如此,鉴于 IP 地址不再起作用,并且存在一种使用 TOR 网络域而不是硬编码 IP 地址的新型投放器变种,看来该恶意软件正在积极开发中。
通过攻击面管理平台Censys的搜索发现,有超过6000台设备成为Ballista攻击的目标,易受攻击的设备集中在巴西、波兰、英国、保加利亚和土耳其等地区。
据发现,该僵尸网络的目标是美国、澳大利亚、中国和墨西哥的制造业、医疗/保健、服务业和技术组织。
研究人员表示:“虽然该恶意软件样本与其他僵尸网络有相似之处,但它与 Mirai 和 Mozi 等广泛使用的僵尸网络仍有区别。”