یک کمپین جدید باتنت از یک آسیبپذیری امنیتی بحرانی در روترهای TP-Link استفاده کرده و تاکنون بیش از ۶۰۰۰ دستگاه را آلوده کرده است.
طبق گزارش تیم Cato CTRL، این باتنت که با نام Ballista شناخته میشود، از یک آسیبپذیری اجرای کد از راه دور (RCE) در روتر TP-Link Archer AX-21 سواستفاده میکند.
این آسیبپذیری که با شناسه CVE-2023-1389 ردیابی شده است، امکان تزریق فرمان را فراهم میکند و در نتیجه اجرای کد از راه دور ممکن میشود. این حفره امنیتی پیشتر در حملات باتنت Mirai در آوریل ۲۰۲۳ نیز مورد سوءاستفاده قرار گرفته بود و در گسترش بدافزارهای Condi و AndroxGh0st نیز نقش داشته است.
آخرین فعالیت ثبتشده از Ballista در ۱۷ فوریه ۲۰۲۵ بوده و Cato CTRL برای اولین بار این حمله را در ۱۰ ژانویه ۲۰۲۵ شناسایی کرده است.
توزیع جغرافیایی آلودگی
از میان هزاران دستگاه آلوده، بیشترین میزان آلودگی در کشورهای برزیل، لهستان، بریتانیا، بلغارستان و ترکیه مشاهده شده است. این در حالی است که اهداف اصلی این حمله در حوزههای تولید، بهداشت و درمان، خدمات و فناوری، عمدتاً در کشورهای ایالات متحده، استرالیا، چین و مکزیک قرار دارند.
نحوه حمله Ballista
حمله Ballista به این صورت اجرا میشود:
۱. ابتدا یک دراپر بدافزار اجرا شده و سپس یک اسکریپت شل برای دریافت و اجرای فایل باینری اصلی روی دستگاه هدف اجرا میشود. این فایل برای معماریهای مختلف سیستم طراحی شده است.
۲. پس از اجرا، بدافزار یک کانال فرمان و کنترل (C2) را روی پورت ۸۲ ایجاد میکند تا کنترل دستگاه را به دست گیرد.
3. این بدافزار میتواند دستورات شل را اجرا کرده و حملات اجرای کد از راه دور (RCE) و حملات انکار سرویس (DoS) را انجام دهد.
4. همچنین تلاش میکند فایلهای حساس موجود در سیستم را بخواند.
دستورات پشتیبانیشده توسط بدافزار:
flooder → اجرای حمله Flood
exploiter → بهرهبرداری از آسیبپذیری CVE-2023-1389
start → شروع یک ماژول خاص در exploiter
close → متوقف کردن عملکرد یک ماژول
shell → اجرای یک دستور شل لینوکس در سیستم
killall → پایان دادن به فرایندهای فعال
یکی از ویژگیهای Ballista این است که میتواند نسخههای قبلی خود را متوقف کرده و اثرات خود را از سیستم پاک کند تا ردپایی باقی نگذارد. این بدافزار برای گسترش، به طور خودکار سعی میکند سایر روترهای TP-Link را آلوده کند.
منشأ احتمالی و توسعه فعال
تحقیقات اولیه نشان میدهد که آدرس IP و زبان مورد استفاده در این حمله منشأ ایتالیایی نامشخصی دارد. با این حال، آدرس IP اولیه دیگر فعال نیست و جای خود را به نسخهای جدید داده که از دامنههای شبکه TOR استفاده میکند، که نشاندهنده توسعه فعال این بدافزار است.
چگونه روتر TP-Link خود را ایمن کنیم؟
بهروزرسانی روتر بهاندازه بهروزرسانی سیستمعامل موبایل یا اپلیکیشنهای کاربردی اهمیت دارد. برای جلوگیری از آلودگی، توصیه میشود بلافاصله آخرین وصله امنیتی را برای روتر TP-Link Archer AX-21 نصب کنید.
مراحل بهروزرسانی:
- بررسی نسخه Firmware روتر
- دانلود جدیدترین نسخه Firmware از وبسایت رسمی TP-Link
- اجرای مراحل بروزرسانی طبق دستورالعملها
برای اطلاعات بیشتر، راهنمای دانلود فریمور TP-Link شامل سوالات متداول و ویدئوی آموزشی در وبسایت رسمی این شرکت در دسترس است.
منبع: https://www.tomsguide.com/computing/malware-adware/thousands-of-tp-link-routers-have-been-infected-by-a-botnet-to-spread-malware
