Як інформує «Kreschatic» із посиланням на матеріал Cato CTRL, зловмисна мережа Ballista користується вразливістю RCE в TP-Link Archer AX-21 (CVE-2023-1389), і може запускати віддалений код, заражаючи інші «девайси», більшість із яких розташовані в Південній Америці, Східній і Північній Європі.
Ботнет Ballista завантажує шкідливе ПЗ на роутер і запускає скрипт, що виконує бінарний файл: встановлюється канал управління (C2) через порт 82, що відкриває зловмисникам повноцінний контроль над роутером — програма запускає низку віддалених команд, DdoS-атаки та зчитує ini-файли.
Зокрема, підтримуються команди для злому: flooder (для DDoS-атак), exploiter (для експлуатації «діри» CVE-2023-1389), shell (для виконання Linux-запитів) і killall (для вимкнення служб). Шкідливий скрипт також вміє приховувати сліди своєї присутності, інфікуючи інші маршрутизатори.
Щоб убезпечити роутер TP-Link Archer AX-21, необхідно терміново встановити останню версію прошивки, відвідавши офіційний сайт китайського виробника.
Раніше ми писали про те, що в Google повідомляли, як оплачують «білим хакерам» пошук вразливостей у сервісах.
