Хакери заразили тисячі роутерів ботнетом Ballista — через вразливість

За даними звіту команди Cato CTRL, хакери розпочали нову кампанію ботнету, спрямовану на роутери TP-Link, TotoLink, унаслідок чого наразі заражено понад 6000 пристроїв.

Ботнет Ballista використовує вразливість віддаленого виконання коду (RCE, CVE-2023-1389) у роутерах TP-Link. Шкідливе програмне забезпечення завантажується на пристрій через шелл-скрипт (dropbpb.sh), який отримує та виконує відповідний бінарний файл, після чого встановлює канал керування (C2) на порту 82, надаючи хакерам повний контроль над пристроєм.

Ця програма здатна виконувати віддалені команди, здійснювати DDoS-атаки, переглядати конфігураційні файли, а також приховувати свої сліди та заражати інші роутери. Більшість заражених пристроїв розташовані в Бразилії, Польщі, Великій Британії, Болгарії та Туреччині, а атаки націлені на медичні й технологічні компанії в США, Австралії, Китаї та Мексиці.

Дослідники зазначають, що в коді шкідливого ПЗ виявлено італійські коментарі та IP-адреси, що може вказувати на італійське походження хакерів. Однак початковий IP-адрес уже неактивний, а зловмисники перейшли на використання доменів мережі TOR, що свідчить про активний розвиток ботнету.

Для захисту рекомендуємо негайно оновити прошивку вашого роутера до останньої версії, доступної на офіційному сайті компанії разом із інструкціями з налаштування.

Інструкція по оновленні роутера TotoLink