Хакери заразили тисячі роутерів TP-Link ботнетом Ballista — через вразливість в одній конкретній моделі

У звіті команди Cato CTRL зазначається, що хакери запустили нову ботнет-кампанію, спрямовану на роутери TP-Link — нині заражені понад 6000 пристроїв.

Зазначається, що ботнет Ballista використовує вразливість віддаленого виконання коду (RCE) у моделі TP-Link Archer AX-21. Початково шкідливе ПЗ завантажується на пристрій та запускає скрипт, що отримує та виконує потрібний бінарний файл, а далі встановлює канал керування (C2) на порту 82, забезпечуючи хакерам повний контроль на пристрої.

Програма може запускати віддалені команди, DDoS-атаки і переглядати конфігураційні файли, а також приховувати сліди та свою присутність, і заражати інші роутери. Серед тисяч заражених пристроїв більшість зосереджена у Бразилії, Польщі, Великій Британії, Болгарії та Туреччині, а атаки спрямовані на медичні чи технологічні компанії з США, Австралії, Китаю та Мексики.

Зважаючи на те, що використана IP-адреса та мова були італійськими, дослідники приписали атаку хакерам цієї країни. Утім, початковий IP вже не функціонує, його замінив новий варіант, який використовує домени мережі TOR — це свідчить про те, що зловмисне програмне забезпечення знаходиться в стадії активної розробки.

Дослідники радять негайно встановити рекомендований патч для роутера TP-Link Archer AX-21 — доступний через офіційну сторінку компанії, разом з інструкціями по налаштуванню.

Джерело: tomsguide