Saskaņā ar ziņojumu no Cato CTRL komandas, hakeri ir uzsākuši jaunu botnet kampaņu, kas mērķēta uz TP-Link maršrutētājiem — šobrīd inficētas ir vairāk nekā 6000 ierīces.
Ir norādīts, ka Ballista botnet izmanto attālinātās koda izpildes (RCE) ievainojamību TP-Link Archer AX-21 modelī. Sākotnēji ļaunprogrammatūra tiek augšupielādēta uz ierīces un palaiž skriptu, kas saņem un izpilda nepieciešamo bināro failu, un pēc tam izveido vadības kanālu (C2) uz 82. porta, nodrošinot hakeriem pilnu kontroli pār ierīci.
Programma var palaist attālinātas komandas, veikt DDoS uzbrukumus un skatīt konfigurācijas failus, kā arī paslēpt pēdas un savu klātbūtni, un inficēt citus maršrutētājus. Starp tūkstošiem inficēto ierīču lielākā daļa ir koncentrēta Brazīlijā, Polijā, Apvienotajā Karalistē, Bulgārijā un Turcijā, bet uzbrukumi ir mērķēti uz medicīnas vai tehnoloģiju kompānijām no ASV, Austrālijas, Ķīnas un Meksikas.
Ņemot vērā, ka tika izmantota Itālijas IP adrese un valoda, pētnieki uzskata, ka uzbrukumu veica šīs valsts hakeri. Tomēr sākotnējais IP vairs nav aktīvs, to ir aizstājis jauns variants, kas izmanto TOR tīkla domēnus — tas liecina, ka ļaunprogrammatūra ir aktīvā izstrādes fāzē.
Pētnieki iesaka nekavējoties uzstādīt ieteikto atjauninājumu TP-Link Archer AX-21 maršrutētājam — tas ir pieejams caur oficiālo uzņēmuma tīmekļa lapu kopā ar iestatīšanas instrukcijām.
Avots: tomsguide
Komentāri (0)
Šobrīd nav neviena komentāra