Cato CTRL ekibinin yeni bulgularına göre, takılmamış TP-Link okçu yönlendiricileri Ballista olarak adlandırılan yeni bir Botnet kampanyasının hedefi haline geldi.
Vardi ve Matan Mittelman güvenlik araştırmacıları, “BOTNET, TP-Link Archer yönlendiricilerindeki (CVE-2023-1389) bir uzaktan kod yürütme (RCE) güvenlik açığından yararlanıyor.” Dedi.
CVE-2023-1389, komut enjeksiyonuna yol açabilecek TP-Link Archer AX-21 yönlendiricilerini etkileyen ve daha sonra uzaktan kod yürütülmesinin yolunu açabilecek yüksek şiddetli bir güvenlik kusurudur.
Kusurun aktif sömürüsünün en eski kanıtı, Nisan 2023’e kadar uzanmaktadır ve kimliği belirsiz tehdit aktörleri Mirai Botnet kötü amaçlı yazılımları bırakmak için kullanıyor. O zamandan beri, Condi ve AndroxGH0ST gibi diğer kötü amaçlı yazılım ailelerini yaymak da istismar edildi.
Cato CTRL, 10 Ocak 2025’te Balista kampanyasını tespit ettiğini söyledi. En son sömürü girişimi 17 Şubat’ta kaydedildi.
Saldırı sırası, MIPS, MIPSEL, ARMV5L, ARMV7L ve X86_64 gibi çeşitli sistem mimarileri için hedef sistemdeki ana ikili almak ve yürütmek üzere tasarlanmış bir kötü amaçlı yazılım damlası, bir kabuk komut dosyası (“dropbpb.sh”) kullanılmasını gerektirir.
Uygulandıktan sonra, kötü amaçlı yazılım, cihazın kontrolünü ele geçirmek için 82 numaralı bağlantı noktasında şifreli bir komut ve kontrol (C2) kanalı oluşturur.
Araştırmacılar, “Bu, kabuk komutlarının çalıştırılmasını daha fazla RCE ve Hizmet Reddetme (DOS) saldırıları yapmasına izin veriyor.” Dedi. “Ayrıca, kötü amaçlı yazılım yerel sistemdeki hassas dosyaları okumaya çalışır.”
Desteklenen bazı komutlar aşağıda listelenmiştir –
- Sel saldırısını tetikleyen taşkın
- CVE-2023-1389’dan sömürülen sömürücü
- Başlat, modülü başlatmak için sömürücü ile kullanılan isteğe bağlı bir parametre
- Modül tetikleme işlevini durduran kapatın
- Yerel sistemde bir Linux Shell komutu çalıştıran kabuk.
- Hizmeti sonlandırmak için kullanılan Killall
Buna ek olarak, önceki örnekleri sonlandırabilir ve infaz başladığında kendi varlığını silebilir. Ayrıca kusurdan yararlanmaya çalışarak diğer yönlendiricilere yayılmak üzere tasarlanmıştır.
C2 IP adresinin kullanımı (2.237.57[.]70) ve Siber Güvenlik Şirketi, kötü amaçlı yazılım ikili dosyalarında İtalyan dil dizelerinin varlığının bilinmeyen bir İtalyan tehdit oyuncusunun katılımını önerdiğini söyledi.
Bununla birlikte, IP adresinin artık işlevsel olmadığı ve sabit kodlu bir IP adresi yerine TOR ağ alanlarını kullanan yeni bir varyant olduğu göz önüne alındığında, kötü amaçlı yazılımın aktif geliştirme altında olduğu görülmektedir.
Saldırı Yüzey Yönetimi Platformunda Bir Arama Censys, 6.000’den fazla cihaz Balista tarafından enfekte olur. Enfeksiyonlar Brezilya, Polonya, Birleşik Krallık, Bulgaristan ve Türkiye etrafında yoğunlaşıyor.
BOTNET’in ABD, Avustralya, Çin ve Meksika’daki üretim, tıbbi/sağlık, hizmetler ve teknoloji organizasyonlarını hedeflediği bulunmuştur.
Araştırmacılar, “Bu kötü amaçlı yazılım örneği diğer botnetlerle benzerlikleri paylaşırken, Mirai ve Mozi gibi yaygın olarak kullanılan botnetlerden farklı kalıyor.” Dedi.
