אלפי נתבי TP-Link נדבקו על ידי Botnet להפצת תוכנות זדוניות

קמפיין Botnet חדש מנצל פגם אבטחה גבוה בחומרה בנתבים של TP-Link שלא תפס וכבר התפשט ליותר מ -6,000 מכשירים.

על פי דיווח חדש מצוות Cato Ctrl, Ballista Botnet מנצלת פגיעות בביצוע קוד מרחוק המשפיעה ישירות על הנתב AX-21 של TP-Link ARCHER.

ה- BOTNET יכול להוביל להזריקת פקודה אשר לאחר מכן מאפשר ביצוע קוד מרחוק (RCE) כך שהתוכנה הזדונית תוכל להפיץ את עצמה באופן אוטומטי באינטרנט. פגם אבטחת חומרה גבוה זה (שנמצא במעקב כ- CVE-2023-1389) שימש גם כדי להפיץ משפחות זדוניות אחרות כבר באפריל 2023 כאשר הוא שימש בהתקפות זדוניות של מירי בוטנט. הפגם מקושר גם להתקפות ה- Condi ו- Androxgh0St.

ניסיון הניצול האחרון של Ballista היה 17 בפברואר 2025 וקאטו CTRL זיהה אותו לראשונה ב- 10 בינואר 2025.

מבין אלפי המכשירים הנגועים, רובם מרוכזים בברזיל, פולין, בריטניה, בולגריה וטורקיה; עם מיקוד Botnet הייצור, ארגוני שירותי רפואה/בריאות, שירותים וטכנולוגיה בארצות הברית, אוסטרליה, סין ומקסיקו.

איך Ballista תוקף

רצף ההתקפה הוא כדלקמן: זה מתחיל עם טפטפת זדונית, ואז סקריפט פגז שנועד להביא ולבצע את הבינארי הראשי במערכת היעד לארכיטקטורות מערכת שונות. כאשר מבוצעת, התוכנה הזדונית קובעת ערוץ פקודה ובקרה (C2) ביציאה 82 כדי להשתלט על המכשיר.

זה מאפשר לתוכנה זדונית להפעיל פקודות מעטפת לביצוע ביצוע קוד מרחוק של קוד מרחוק והתקפות שירות (DOS); הוא ינסה גם לקרוא קבצים רגישים במערכת.

פקודות נתמכות כוללות מציפה (מפעילה התקפת שיטפון), מנצלת (המנצלת את CVE-2023-1389), התחלה (פרמטר אופציונלי המשמש עם המנצל כדי להתחיל את המודול), סגור (מפסיק את הפונקציה המפעילה את המודול), פגז (מריץ פקודת פגז לינוקס במערכת המקומית) וקילל (משמש להפעלת השירות).

התוכנה הזדונית של Ballista מסוגלת בנוסף לסיים את המקרים הקודמים של עצמה – ולמחוק נוכחות משלה לאחר תחילת הביצוע. הוא נועד להתפשט לנתבים אחרים על ידי ניסיון לנצל את הפגם.

מכיוון שגם כתובת ה- IP וגם השפה המשמשת יש בסיס איטלקי, חוקרי אבטחת הסייבר הציעו כי שחקן האיום הוא ממוצא איטלקי לא ידוע. עם זאת, כתובת ה- IP הראשונית המשמשת אינה עוד פונקציונלית לאחר שהוחלפה על ידי גרסה חדשה המשתמשת בתחומי רשת TOR. כל זה מצביע על כך שהתוכנה הזדונית נמצאת בפיתוח פעיל.