Ботнет Ballista эксплуатирует незащищённые маршрутизаторы TP-Link Archer, в частности модели Archer AX-21, используя уязвимость CVE-2023-1389, которая даёт возможность удалённого исполнения команд.
Критическая уязвимость CVE-2023-1389 позволяет злоумышленникам проводить атаки через командную инъекцию, что обеспечивает автоматическое распространение вредоносного кода по уязвимым устройствам.
Команда Cato CTRL совместно с исследователями безопасности Офеком Варди и Матаном Миттельманом обнаружила данную уязвимость, результаты чего были опубликованы в отчёте, переданном изданию The Hacker News.
Эксплуатация уязвимости зафиксирована с апреля 2023 года, когда неизвестные угрозные акторы использовали её для внедрения вредоносного ПО Mirai. Позже уязвимость была задействована для распространения вирусных семейств Condi и AndroxGh0st, а кампания Ballista была обнаружена 10 января 2025 года с последней попыткой эксплуатации 17 февраля 2025 года.
Механизм атаки включает использование скрипта shell , который загружает и исполняет основной бинарный файл на различных архитектурах (mips, mipsel, armv5l, armv7l, x86_64). Через порт 82 устанавливается зашифрованный канал командно-управляемой связи, позволяющий проводить дальнейшие атаки удалённого исполнения команд, DoS-атаки, а также читать локальные конфиденциальные файлы и завершать предыдущие экземпляры вредоносного ПО с последующим самоудалением.
Ключевые команды, задействованные в атаках, включают flooder для запуска атак на затопление, exploiter для эксплуатации уязвимости, start для инициализации модуля, close для его остановки, shell для исполнения команд Linux и killall для завершения работы сервиса.
Анализ обнаружил использование IP-адреса 2.237.57[.]70 для канала C2, который в настоящее время не функционирует. Итальянские языковые строки в бинарных файлах указывают на возможное участие неизвестного итальянского угрозного актора, а новая версия dropper теперь использует доменные имена сети TOR вместо статического IP.
По данным платформы Censys, заражено свыше 6000 устройств, при этом инфекции зафиксированы преимущественно в Бразилии, Польше, Великобритании, Болгарии и Турции. Среди целей нападений оказались организации из секторов производства, медицины, сервисных и технологических компаний, с акцентом на регионы США, Австралии, Китая и Мексики.
Несмотря на структурные и оперативные сходства с ботнетами Mirai и Mozi, Ballista обладает уникальными методами эксплуатации и управления, что делает его самостоятельной угрозой для международного киберпространства.
Изображение носит иллюстративный характер
Критическая уязвимость CVE-2023-1389 позволяет злоумышленникам проводить атаки через командную инъекцию, что обеспечивает автоматическое распространение вредоносного кода по уязвимым устройствам.
Команда Cato CTRL совместно с исследователями безопасности Офеком Варди и Матаном Миттельманом обнаружила данную уязвимость, результаты чего были опубликованы в отчёте, переданном изданию The Hacker News.
Эксплуатация уязвимости зафиксирована с апреля 2023 года, когда неизвестные угрозные акторы использовали её для внедрения вредоносного ПО Mirai. Позже уязвимость была задействована для распространения вирусных семейств Condi и AndroxGh0st, а кампания Ballista была обнаружена 10 января 2025 года с последней попыткой эксплуатации 17 февраля 2025 года.
Механизм атаки включает использование скрипта shell , который загружает и исполняет основной бинарный файл на различных архитектурах (mips, mipsel, armv5l, armv7l, x86_64). Через порт 82 устанавливается зашифрованный канал командно-управляемой связи, позволяющий проводить дальнейшие атаки удалённого исполнения команд, DoS-атаки, а также читать локальные конфиденциальные файлы и завершать предыдущие экземпляры вредоносного ПО с последующим самоудалением.
Ключевые команды, задействованные в атаках, включают flooder для запуска атак на затопление, exploiter для эксплуатации уязвимости, start для инициализации модуля, close для его остановки, shell для исполнения команд Linux и killall для завершения работы сервиса.
Анализ обнаружил использование IP-адреса 2.237.57[.]70 для канала C2, который в настоящее время не функционирует. Итальянские языковые строки в бинарных файлах указывают на возможное участие неизвестного итальянского угрозного актора, а новая версия dropper теперь использует доменные имена сети TOR вместо статического IP.
По данным платформы Censys, заражено свыше 6000 устройств, при этом инфекции зафиксированы преимущественно в Бразилии, Польше, Великобритании, Болгарии и Турции. Среди целей нападений оказались организации из секторов производства, медицины, сервисных и технологических компаний, с акцентом на регионы США, Австралии, Китая и Мексики.
Несмотря на структурные и оперативные сходства с ботнетами Mirai и Mozi, Ballista обладает уникальными методами эксплуатации и управления, что делает его самостоятельной угрозой для международного киберпространства.
