吳明宜資安業者 Cato CTRL 部門發現,TP-Link Archer 路由器成為新殭屍網路程式 Ballista 的攻擊目標。
最新惡意程式專門鎖定 TP-Link Archer 路由器的遠端程式碼執行漏洞 (CVE-2023-1389),在網際網路上自動散佈。
CVE-2023-1389 是高風險漏洞,影響 TP-Link Archer AX-21 路由器,可允許指令注入,導致遠端程式碼 (remote code execution, RCE) 執行。
這項漏洞的攻擊最早源自 2023 年四月,一個不明組織用它來植入 Mirai 殭屍網路程式。此後,又有 Condi 、 AndroxGh0st 用它來自我複製與散播。
Cato CTRL 是在今年一月 10 日偵測到 Ballista 的攻擊活動,最近一次則是在二月 17 日。
Ballista 一開始是利用惡意程式下載器 (dropper),是一種名為 dropbpp.sh 的 shell script,可將主要二進位程式載入目標系統上,可執行的系統架構包括 mips 、 mipsel 、 armv5l 、 armv7l 與 x76_64 等。
一經執行,該程式就會利用 port 82 和外部 C&C 伺服器建立加密通道。接著攻擊者得以執行 shell 指令,遠端執行程式碼,或是阻斷服務 (DoS) 攻擊,以便接管該裝置。它也企圖從裝置上讀取敏感檔案。此外,在開始執行新指令時,它還能終結它之前的執行個體、自我消滅。透過利用 CVE-2023-1389,就能傳染給其他路由器。
雖然和其他殭屍網路程式多所相似,但 Ballista 和常見的 Mirai 、 Mozi 仍然有顯著差異。研究人員根據它的 C&C 伺服器 IP 位址,以及二進位程式中的義大利文字串,判斷可能和一個尚未知的義大利駭客組織有關。不過該 IP 位址現已停用,且出現使用 TOR 網路的下載器變種,意謂該程式還在不斷改版進化中。
在攻擊表面管理平台 Censys 上搜尋,可以顯示被 Ballista 鎖定的裝置超過 6,000 台,主要散佈在巴西、波蘭、英國、保加利亞和土耳其。
以產業來看,受害者有製造、醫療、服務及科技公司,主要分佈美、澳、中及墨西哥。