Roteadores TP-Link Archer não atualizados tornaram-se o alvo de uma nova campanha de botnet denominada Ballista, de acordo com novas descobertas da equipe Cato CTRL.
“A botnet explora uma vulnerabilidade de execução remota de código (RCE) nos roteadores TP-Link Archer (
CVE-2023-1389
) para se espalhar automaticamente pela Internet”, disseram os pesquisadores de segurança Ofek Vardi e Matan Mittelman em um relatório técnico compartilhado.
O
CVE-2023-1389
é uma falha de segurança de alta gravidade que impacta os roteadores TP-Link Archer AX-21, podendo levar a injeção de comandos, que, por sua vez, podem abrir caminho para execução remota de código.
As primeiras evidências de exploração ativa da falha remontam a abril de 2023, com atores de ameaças não identificados usando-a para implantar malware do botnet Mirai.
Desde então, também foi abusada para propagar outras famílias de malware como Condi e AndroxGh0st.
A Cato CTRL disse que detectou a campanha Ballista em 10 de janeiro de 2025.
A tentativa de exploração mais recente foi registrada em 17 de fevereiro.
A sequência do ataque envolve o uso de um malware dropper, um script de shell (“dropbpb.sh”) que é projetado para buscar e executar o binário principal no sistema alvo para várias arquiteturas de sistema como mips, mipsel, armv5l, armv7l e x86_64.
Uma vez executado, o malware estabelece um canal de comando e controle (C2) criptografado na porta 82 para tomar controle do dispositivo.
“Isso permite executar comandos shell para conduzir novas execuções de RCE e ataques de negação de serviço (DoS)”, disseram os pesquisadores.
“Além disso, o malware tenta ler arquivos sensíveis no sistema local.”
Alguns dos comandos suportados são listados abaixo:
flooder, que desencadeia um ataque do tipo flood
exploiter, que explora a
CVE-2023-1389
start, um parâmetro opcional usado com o exploiter para iniciar o módulo
close, que interrompe a função de disparo do módulo
shell, que executa um comando shell Linux no sistema local
killall, que é usado para terminar o serviço
Além disso, ele é capaz de terminar instâncias anteriores de si mesmo e apagar sua própria presença uma vez que a execução começa.
Também é projetado para se espalhar para outros roteadores tentando explorar a falha.
O uso do endereço IP C2 (2.237.57[.]70) e a presença de strings em italiano nos binários do malware sugerem o envolvimento de um ator de ameaças italiano desconhecido, disse a empresa de cibersegurança.
Dito isto, parece que o malware está em desenvolvimento ativo, dado que o endereço IP não é mais funcional e existe uma nova variante do dropper que utiliza domínios da rede TOR em vez de um endereço IP codificado.
Uma busca na plataforma de gerenciamento de superfície de ataque Censys revela que mais de 6.000 dispositivos são alvo da Ballista.
Os dispositivos vulneráveis estão concentrados em torno do Brasil, Polônia, Reino Unido, Bulgária e Turquia.
O botnet foi encontrado visando organizações de manufatura, médico/saúde, serviços e tecnologia nos Estados Unidos, Austrália, China e México.
“Embora esta amostra de malware compartilhe semelhanças com outros botnets, ela permanece distinta de botnets amplamente utilizados como Mirai e Mozi”, disseram os pesquisadores.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...