Ballista-Botnetz nutzt Schwachstelle in TP-Link-Routern aus

MÜNCHEN (IT BOLTWISE) – Eine neue Bedrohung für die Cybersicherheit hat sich in Form des Ballista-Botnetzes manifestiert, das eine ungepatchte Sicherheitslücke in TP-Link Archer Routern ausnutzt.

Die Cybersicherheitslandschaft sieht sich einer neuen Herausforderung gegenüber: Das Ballista-Botnetz nutzt eine ungepatchte Schwachstelle in TP-Link Archer Routern aus, um sich im Internet zu verbreiten. Diese Schwachstelle, bekannt als CVE-2023-1389, ermöglicht es Angreifern, aus der Ferne Code auf den betroffenen Geräten auszuführen. Die ersten Anzeichen für die aktive Ausnutzung dieser Sicherheitslücke datieren auf April 2023 zurück, als unbekannte Bedrohungsakteure begannen, Mirai-Botnetz-Malware zu verbreiten. Seitdem wurde die Schwachstelle auch genutzt, um andere Malware-Familien wie Condi und AndroxGh0st zu verbreiten. Das Cato CTRL-Team entdeckte die Ballista-Kampagne am 10. Januar 2025, wobei der jüngste Ausnutzungsversuch am 17. Februar aufgezeichnet wurde. Der Angriff erfolgt über einen Malware-Dropper, der ein Shell-Skript namens “dropbpb.sh” verwendet, um die Hauptbinärdatei auf dem Zielsystem für verschiedene Systemarchitekturen wie mips, mipsel, armv5l, armv7l und x86_64 abzurufen und auszuführen. Nach der Ausführung etabliert die Malware einen verschlüsselten Command-and-Control-Kanal auf Port 82, um die Kontrolle über das Gerät zu übernehmen. Dies ermöglicht das Ausführen von Shell-Befehlen, um weitere Remote-Code-Ausführungen und Denial-of-Service-Angriffe durchzuführen. Zudem versucht die Malware, sensible Dateien auf dem lokalen System zu lesen. Zu den unterstützten Befehlen gehören “flooder”, der einen Flutangriff auslöst, “exploiter”, der CVE-2023-1389 ausnutzt, “start”, ein optionaler Parameter, der mit dem Exploiter verwendet wird, um das Modul zu starten, “close”, das das Modul beendet, “shell”, das einen Linux-Shell-Befehl auf dem lokalen System ausführt, und “killall”, das den Dienst beendet. Darüber hinaus ist die Malware in der Lage, frühere Instanzen von sich selbst zu beenden und ihre eigene Präsenz zu löschen, sobald die Ausführung beginnt. Sie ist auch darauf ausgelegt, sich auf andere Router zu verbreiten, indem sie versucht, die Schwachstelle auszunutzen. Die Verwendung der C2-IP-Adresse (2.237.57[.]70) und das Vorhandensein italienischer Sprachstrings in den Malware-Binärdateien deuten auf die Beteiligung eines unbekannten italienischen Bedrohungsakteurs hin. Es scheint jedoch, dass die Malware aktiv weiterentwickelt wird, da die IP-Adresse nicht mehr funktionsfähig ist und es eine neue Variante des Droppers gibt, die TOR-Netzwerkdomänen anstelle einer fest codierten IP-Adresse verwendet. Eine Suche auf der Angriffsoberflächen-Management-Plattform Censys zeigt, dass mehr als 6.000 Geräte von Ballista infiziert sind. Die Infektionen konzentrieren sich auf Brasilien, Polen, das Vereinigte Königreich, Bulgarien und die Türkei. Das Botnetz zielt auf Unternehmen in den Bereichen Fertigung, Medizin/Gesundheitswesen, Dienstleistungen und Technologie in den Vereinigten Staaten, Australien, China und Mexiko ab. Während diese Malware-Probe Ähnlichkeiten mit anderen Botnetzen aufweist, bleibt sie dennoch von weit verbreiteten Botnetzen wie Mirai und Mozi unterscheidbar.

Zu den Top-Stories!

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Angebot

1.915 Bewertungen

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

• NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.

169,00 EUR

Bei Amazon kaufen