У отчета Команда Cato CTRL отмечает, что хакеры запустили новую ботнет-кампанию, направленную на маршрутизаторы TP-Link — в настоящее время заражено более 6 000 устройств.
Ботнет Ballista, как утверждается, использует уязвимость удаленного выполнения кода (RCE) в модели Archer AX-21 от TP-Link. Изначально вредоносная программа загружается на устройство и запускает скрипт, который получает и выполняет нужный двоичный файл, а затем устанавливает канал управления (C2) на порт 82, предоставляя хакерам полный контроль над устройством.
Программа может выполнять удаленные команды, проводить DDoS-атаки и просматривать конфигурационные файлы, а также скрывать свои следы и присутствие и заражать другие маршрутизаторы. Среди тысяч зараженных устройств большинство сосредоточено в Бразилии, Польше, Великобритании, Болгарии и Турции, атаки направлены на медицинские или технологические компании в США, Австралии, Китае и Мексике.
Поскольку IP-адрес и используемый язык были итальянскими, исследователи приписали атаку итальянским хакерам. Однако оригинальный IP-адрес больше не функционирует, его заменили новой версией, использующей домены TOR, что свидетельствует о том, что вредоносная программа находится в активной разработке.
Исследователи рекомендуют немедленно установить рекомендуемый патч для маршрутизатора TP-Link Archer AX-21 — он доступен на официальном сайте компании вместе с инструкцией по установке.
Источник: tomsguide
