Router Archer TP-Link yang tidak ditandingi telah menjadi target kampanye botnet baru yang dijuluki Ballista, menurut temuan baru dari tim Cato Ctrl.
“Botnet mengeksploitasi kerentanan Eksekusi Kode Jarak Jauh (RCE) dalam router pemanah TP-Link (CVE-2023-1389) untuk menyebarkan dirinya secara otomatis melalui internet,” kata peneliti keamanan Vardi dan Matan Mittelman dalam sebuah laporan teknis yang dibagikan kepada Hacker News.
CVE-2023-1389 adalah cacat keamanan tingkat tinggi yang berdampak pada router Archer AX-21 TP-Link yang dapat menyebabkan injeksi perintah, yang kemudian dapat membuka jalan bagi eksekusi kode jarak jauh.
Bukti paling awal dari eksploitasi aktif dari cacat tanggal kembali ke April 2023, dengan aktor ancaman yang tidak dikenal menggunakannya untuk menjatuhkan malware botnet Mirai. Sejak itu, telah disalahgunakan untuk menyebarkan keluarga malware lain seperti Condi dan Androxgh0st.
Cato Ctrl mengatakan mereka mendeteksi kampanye Ballista pada 10 Januari 2025. Upaya eksploitasi terbaru dicatat pada 17 Februari.
Urutan serangan memerlukan penggunaan penetes malware, skrip shell (“dropbpb.sh”) yang dirancang untuk mengambil dan menjalankan biner utama pada sistem target untuk berbagai arsitektur sistem seperti MIPS, MIPSEL, ARMV5L, ARMV7L, dan x86_64.
Setelah dieksekusi, malware membuat saluran perintah dan kontrol (C2) terenkripsi pada port 82 untuk mengendalikan perangkat.
“Ini memungkinkan menjalankan perintah shell untuk melakukan serangan RCE dan penolakan lebih lanjut (DOS),” kata para peneliti. “Selain itu, malware mencoba membaca file sensitif pada sistem lokal.”
Beberapa perintah yang didukung tercantum di bawah ini –
- pembakaran, yang memicu serangan banjir
- Exploiter, yang mengeksploitasi CVE-2023-1389
- Mulai, parameter opsional yang digunakan dengan Exploiter untuk memulai modul
- Tutup, yang menghentikan fungsi pemicu modul
- shell, yang menjalankan perintah linux shell pada sistem lokal.
- Killall, yang digunakan untuk mengakhiri layanan
Selain itu, ia mampu mengakhiri contoh sebelumnya dari dirinya sendiri dan menghapus kehadirannya sendiri setelah eksekusi dimulai. Ini juga dirancang untuk menyebar ke router lain dengan mencoba mengeksploitasi cacat.
Penggunaan lokasi alamat IP C2 (2.237.57[.]70) dan keberadaan string bahasa Italia di binari malware menunjukkan keterlibatan aktor ancaman Italia yang tidak diketahui, kata perusahaan cybersecurity.
Yang mengatakan, tampaknya malware sedang dalam pengembangan aktif mengingat bahwa alamat IP tidak lagi fungsional dan ada varian baru dari penetes yang menggunakan domain jaringan Tor alih-alih alamat IP kode keras.
Pencarian pada platform manajemen permukaan serangan Censys mengungkapkan bahwa lebih dari 6.000 perangkat terinfeksi oleh Ballista. Infeksi terkonsentrasi di sekitar Brasil, Polandia, Inggris, Bulgaria, dan Turki.
Botnet telah ditemukan untuk menargetkan pembuatan, medis/kesehatan, layanan, dan organisasi teknologi di Amerika Serikat, Australia, Cina, dan Meksiko.
“Sementara sampel malware ini memiliki kesamaan dengan botnet lain, itu tetap berbeda dari botnet yang banyak digunakan seperti Mirai dan Mozi,” kata para peneliti.
