Sicherheitsexperten des Threat-Research-Teams von Cato Networks (Cato CTRL) haben ein neues IoT-Botnetz namens Ballista enttarnt. Es nutzt eine Sicherheitslücke (CVE-2023-1389), um sich automatisch über das Internet zu verbreiten. Betroffen sind Archer-Router des Anbieters TP-Link, vor allem das Modell AX21, das auch unter der Bezeichnung AX1800 bekannt ist.
Die Sicherheitslücke entsteht durch eine unzureichende Validierung von Benutzereingaben in der Webschnittstelle des Routers. Das ermöglicht Angreifern die Ausführung von Befehlen mit Root-Rechten. Nach der Infektion richtet die Malware einen verschlüsselten Command-and-Control (C2)-Kanal auf Port 82 ein, über den sie kompromittierte Geräte vollständig steuern kann.
Zum Funktionsumfang der Malware gehören neben dem Ausführen von Shell-Befehlen Denial-of-Service-Angriffe und Zugriffe auf vertrauliche Daten im System. Sie verbreitet sich weiter, indem sie andere TP-Link Archer-Router über dieselbe Sicherheitslücke attackiert. Eine Besonderheit ist Cato Networks zufolge ihre modulare Architektur, die verschiedene Funktionen unterstützt, darunter ein Exploiter-Modul zur Verbreitung und ein Flooder-Modul für DDoS-Angriffe.
„Im Visier des Ballista-Botnetzes sind Organisationen aus den Bereichen Fertigung, Gesundheitswesen, Dienstleistungen und Technologie unter anderem in Ländern wie den USA, Australien, China und Mexiko“, teilte Cato Networks mit. „Mithilfe einer Censys-Suche wurden über 6.000 potenziell gefährdete Geräte identifiziert.“ Der Sicherheitsanbieter geht davon aus, dass die Kampagne einem italienischen Bedrohungsakteur zuzuordnen ist. Diese Einschätzung basiert auf der IP-Adresse des C2-Servers und italienischen Strings in der Malware. Das Botnetz soll außerdem Ähnlichkeiten mit anderen bekannten Botnetzen wie Mirai zeigen, jedoch eigenständig agieren.
Neueste Kommentare
Noch keine Kommentare zu Ballista: IoT-Botnetz kompromittiert Tausende TP-Link-Router
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.