Сообщается о запуске хакерами новой кампании ботнет-атак, направленной на роутеры TP-Link, в результате которой было заражено более 6000 устройств. Ботнет Ballista эксплуатирует уязвимость удаленного выполнения кода (RCE) в модели TP-Link Archer AX-21. После первоначального проникновения вредоносное ПО загружается на роутер и запускает скрипт, который загружает и исполняет бинарный файл. Затем устанавливается канал управления (C2) на порту 82, что позволяет злоумышленникам полностью контролировать устройство. Программа способна выполнять удаленные команды, осуществлять DDoS-атаки, просматривать конфигурационные файлы и скрывать свое присутствие. Также она может распространяться на другие роутеры. Большинство зараженных устройств обнаружено в Бразилии, Польше, Великобритании, Болгарии и Турции, а основными целями атак являются медицинские и технологические компании из США, Австралии, Китая и Мексики. Учитывая использование итальянского IP-адреса и языка, исследователи приписали атаку хакерам из Италии. Однако первоначальный IP уже не работает, его заменил новый, использующий TOR-домены, что свидетельствует о продолжающейся разработке вредоносного ПО. Специалисты рекомендуют немедленно установить обновление безопасности для TP-Link Archer AX-21, доступное на официальном сайте компании, с инструкциями по его настройке. Теги:
Интернет
