Ballista 僵尸网络利用未修复的 TP-Link 漏洞，感染超过 6000 台设备

根据 Cato CTRL 团队的新发现，未修复的 TP-Link Archer 路由器已成为一个新的僵尸网络活动的目标，该活动被称为 Ballista。

“该僵尸网络利用 TP-Link Archer 路由器中的远程代码执行（RCE）漏洞（CVE-2023-1389），通过互联网自动传播自身。” 安全研究员 Ofek Vardi 和 Matan Mittelman 在与 The Hacker News 共享的技术报告中表示。

CVE-2023-1389 是影响 TP-Link Archer AX-21 路由器的高严重性安全漏洞，可能导致命令注入，从而为远程代码执行铺平道路。

最早利用该漏洞的证据可以追溯到 2023 年 4 月，当时未知的威胁行为者利用它来投放 Mirai 僵尸网络恶意软件。从那以后，它还被用来传播 Condi 和 AndroxGh0st 等其他恶意软件家族。

Cato CTRL 表示，他们于 2025 年 1 月 10 日检测到了 Ballista 活动，最近一次利用尝试记录在 2 月 17 日。

攻击序列涉及使用恶意软件投放器，一个名为 “dropbpb.sh” 的 shell 脚本，设计用于在目标系统上获取并执行适用于各种系统架构（如 mips、mipsel、armv5l、armv7l 和 x86_64）的主要二进制文件。

一旦执行，恶意软件会在 82 端口建立加密的命令和控制（C2）通道，以控制设备。

“这允许运行 shell 命令以进行进一步的远程代码执行和拒绝服务（DoS）攻击。” 研究人员表示，“此外，恶意软件还会尝试读取本地系统上的敏感文件。”

Ballista 僵尸网络

支持的一些命令包括：

• flooder，触发洪水攻击
• exploiter，利用 CVE-2023-1389 漏洞
• start，与 exploiter 一起使用的可选参数，用于启动模块
• close，停止触发功能的模块
• shell，在本地系统上运行 Linux shell 命令
• killall，用于终止服务

此外，它能够在执行开始时终止之前的实例并擦除自身存在。它还设计用于通过尝试利用该漏洞传播到其他路由器。

使用 C2 IP 地址位置（2.237.57[.]70）和恶意软件二进制文件中存在意大利语字符串，表明涉及未知的意大利威胁行为者，网络安全公司表示。

尽管如此，似乎该恶意软件正在积极开发中，因为该 IP 地址已不再有效，并且存在一个新的投放器变体，使用 TOR 网络域而不是硬编码的 IP 地址。

在攻击面管理平台 Censys 上的搜索显示，超过 6000 台设备被 Ballista 感染。感染主要集中在巴西、波兰、英国、保加利亚和土耳其。

该僵尸网络被发现针对美国、澳大利亚、中国和墨西哥的制造业、医疗/保健、服务和科技组织。

“虽然这个恶意软件样本与其他僵尸网络有相似之处，但它仍然与广泛使用的 Mirai 和 Mozi 僵尸网络不同。” 研究人员表示。

消息来源：The Hacker News； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；