Báo cáo về Botnet Ballista và lỗ hổng RCE trên router TP-Link Archer

12/03/2025
1 mins read

Bài viết từ The Hacker News thảo luận về botnet Ballista, khai thác lỗ hổng chưa được vá trong các router TP-Link Archer (CVE-2023-1389) để lan truyền trên internet. Dưới đây là các điểm chính:

Nội dung
1. Thời gian phát hiện và khai thác:
2. Chi tiết lỗ hổng:
3. Hành vi phần mềm độc hại:
4. Khả năng và lệnh:
5. Phân bố địa lý và tác nhân đe dọa:
6. Phát triển tích cực và biến thể:
7. Thiết bị nhiễm:

1. Thời gian phát hiện và khai thác:

  • Chiến dịch Ballista lần đầu tiên được phát hiện bởi Cato CTRL vào ngày 10 tháng 1 năm 2025.
  • Cuộc tấn công khai thác gần đây nhất được ghi nhận vào ngày 17 tháng 2 năm 2025.

2. Chi tiết lỗ hổng:

  • Botnet khai thác một lỗ hổng thực thi mã từ xa (RCE) có độ nghiêm trọng cao trong router TP-Link Archer AX-21.
  • Lỗ hổng này có thể dẫn đến việc chèn lệnh, mở đường cho RCE.

3. Hành vi phần mềm độc hại:

  • Phần mềm độc hại sử dụng một script shell (“dropbpb.sh”) để tải và thực thi nhị phân chính trên hệ thống mục tiêu cho nhiều kiến trúc hệ thống (mips, mipsel, armv5l, armv7l và x86_64).
  • Khi được thực thi, phần mềm độc hại thiết lập một kênh điều khiển và điều khiển (C2) mã hóa trên cổng 82 để chiếm quyền điều khiển thiết bị.

4. Khả năng và lệnh:

  • Phần mềm độc hại cho phép thực thi các lệnh shell để thực hiện thêm RCE và các cuộc tấn công từ chối dịch vụ (DoS).
  • Nó hỗ trợ nhiều lệnh, bao gồm:
    • flooder: Kích hoạt một cuộc tấn công tràn.
    • exploiter: Khai thác CVE-2023-1389.
    • start: Bắt đầu mô-đun.
    • close: Dừng chức năng kích hoạt mô-đun.
    • shell: Chạy một lệnh shell Linux trên hệ thống cục bộ.
    • killall: Kết thúc dịch vụ.

5. Phân bố địa lý và tác nhân đe dọa:

  • Các trường hợp nhiễm tập trung xung quanh Brazil, Ba Lan, Vương quốc Anh, Bulgaria và Thổ Nhĩ Kỳ.
  • Việc sử dụng địa chỉ IP C2 (2.237.57[.]70) và chuỗi ngôn ngữ tiếng Ý trong các nhị phân phần mềm độc hại cho thấy sự tham gia của một tác nhân đe dọa chưa xác định từ Ý.

6. Phát triển tích cực và biến thể:

  • Phần mềm độc hại đang trong quá trình phát triển tích cực, với một biến thể mới sử dụng các miền mạng TOR thay vì địa chỉ IP cố định.
  • Sự hiện diện của một địa chỉ IP C2 không hoạt động cho thấy các tác nhân đe dọa đang điều chỉnh chiến thuật của họ.

7. Thiết bị nhiễm:

  • Hơn 6,000 thiết bị đã bị nhiễm bởi botnet Ballista, nhắm vào nhiều tổ chức trong các lĩnh vực sản xuất, y tế/chăm sóc sức khỏe, dịch vụ và công nghệ trên toàn cầu.

Nguồn: https://thehackernews.com/2025/03/ballista-botnet-exploits-unpatched-tp.html