Уязвимые роутеры TP-Link Archer стали мишенью для ботнет-кампании Ballista, о чем сообщают исследователи из компании Cato Networks. Вредоносная сеть использует уязвимость CVE-2023-1389, позволяющую злоумышленникам выполнять произвольный код на незащищенных устройствах. Эта опасная уязвимость затрагивает TP-Link Archer AX-21 и может быть использована для удаленного управления устройствами.
Первоначальные признаки эксплуатации уязвимости были зафиксированы в апреле 2023 года, когда злоумышленники начали распространять ботнет Mirai. Специалисты Cato обнаружили активность Ballista в начале 2025 года, а последнее зафиксированное нападение произошло в феврале. Атака начинается с загрузки вредоносного скрипта dropbpb.sh, который запускает исполняемый файл на различных архитектурах, включая mips и x86_64.
После успешной установки вредоносного ПО создается зашифрованный канал управления через порт 82, что позволяет злоумышленникам осуществлять дальнейшие атаки, включая удаленное выполнение кода и DDoS-атаки. Вредоносная программа также пытается получить доступ к конфиденциальным файлам системы, поддерживая команды для атак перегрузки и завершения своих копий.
Код Ballista содержит строки с итальянскими комментариями и итальянский IP-адрес управления, что может указывать на его итальянское происхождение. В данный момент IP-адрес неактивен, при этом новая версия ботнета использует домены сети TOR для маскировки своего управления. По данным Censys, более 6000 устройств уже заражены Ballista с зафиксированными вспышками активности в Бразилии, Польше и Великобритании.
Несмотря на схожесть с другими ботнетами, такими как Mirai, Ballista представляет собой самостоятельную угрозу с потенциалом для дальнейших атак. Уязвимость CVE-2023-1389 была обнаружена на соревновании Pwn2Own в декабре 2022 года и устранена разработчиками TP-Link в марте 2023 года, но многие устройства все еще остаются уязвимыми из-за отсутствия обновлений.
«Ботнет использует уязвимость удаленного выполнения кода в маршрутизаторах TP-Link Archer для автоматического распространения», — заявляют исследователи, подчеркивая актуальность проблемы. Эксперты Cato предупреждают о том, что несмотря на завершение работ по устранению уязвимости, многие устройства до сих пор не обновлены и остаются в зоне риска.