Các router TP-Link Archer chưa được vá lỗi đã trở thành mục tiêu của một chiến dịch botnet mới có tên là Ballista, theo những phát hiện mới từ nhóm Cato CTRL.

“Botnet này khai thác một lỗ hổng thực thi mã từ xa (RCE) trong các router TP-Link Archer (CVE-2023-1389) để tự động lây lan trên Internet,” các nhà nghiên cứu bảo mật Ofek Vardi và Matan Mittelman cho biết trong một báo cáo kỹ thuật. CVE-2023-1389 là một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến các router TP-Link Archer AX-21, có thể dẫn đến việc chèn lệnh, từ đó mở đường cho việc thực thi mã từ xa. Bằng chứng sớm nhất về việc khai thác tích cực lỗ hổng này có từ tháng 4 năm 2023, khi các tác nhân đe dọa chưa xác định đã sử dụng nó để triển khai phần mềm độc hại botnet Mirai. Kể từ đó, nó cũng đã bị lạm dụng để phát tán các họ phần mềm độc hại khác như Condi và AndroxGh0st.

Cato CTRL cho biết họ đã phát hiện chiến dịch Ballista vào ngày 10 tháng 1 năm 2025. Nỗ lực khai thác gần đây nhất được ghi nhận vào ngày 17 tháng 2. Trình tự tấn công bao gồm việc sử dụng một trình thả mã độc (malware dropper), một tập lệnh shell (“dropbpb.sh”) được thiết kế để tải xuống và thực thi tệp nhị phân chính trên hệ thống mục tiêu cho nhiều kiến trúc hệ thống khác nhau như mips, mipsel, armv5l, armv7l và x86_64. Sau khi được thực thi, phần mềm độc hại sẽ thiết lập một kênh điều khiển và chỉ huy (C2) được mã hóa trên cổng 82 để giành quyền kiểm soát thiết bị.

“Điều này cho phép chạy các lệnh shell để thực hiện thêm các cuộc tấn công RCE và từ chối dịch vụ (DoS),” các nhà nghiên cứu cho biết. “Ngoài ra, phần mềm độc hại cố gắng đọc các tệp nhạy cảm trên hệ thống cục bộ”. Một số lệnh được hỗ trợ được liệt kê dưới đây :

•

flooder: kích hoạt tấn công lũ lụt

•

exploiter: khai thác CVE-2023-1389

•

start: một tham số tùy chọn được sử dụng với exploiter để khởi động mô-đun

•

close: dừng chức năng kích hoạt mô-đun

•

shell: chạy lệnh shell Linux trên hệ thống cục bộ

•

killall: được sử dụng để chấm dứt dịch vụ.

Ngoài ra, chúng có khả năng chấm dứt các phiên bản trước đó của chính mình và xóa dấu vết của nó sau khi bắt đầu thực thi. NóMã độc cũng được thiết kế để lây lan sang các router khác bằng cách cố gắng khai thác lỗ hổng. Việc sử dụng vị trí địa chỉ IP C2 (2.237.57[.]70) và sự hiện diện của các chuỗi ngôn ngữ tiếng Ý trong các tệp nhị phân của phần mềm độc hại cho thấy sự liên quan của một tác nhân đe dọa người Ý chưa xác định, công ty an ninh mạng cho biết. Tuy nhiên, có vẻ như phần mềm độc hại đang được phát triển tích cực vì địa chỉ IP không còn hoạt động và tồn tại một biến thể mới của trình thả sử dụng các tên miền mạng TOR thay vì địa chỉ IP được mã hóa cứng.

Một tìm kiếm trên nền tảng quản lý bề mặt tấn công Censys cho thấy hơn 6.000 thiết bị đang bị Ballista nhắm mục tiêu. Các thiết bị dễ bị tấn công tập trung ở Brazil, Ba Lan, Vương quốc Anh, Bulgaria và Thổ Nhĩ Kỳ. Botnet này đã được phát hiện nhắm mục tiêu vào các tổ chức sản xuất, y tế/chăm sóc sức khỏe, dịch vụ và công nghệ ở Hoa Kỳ, Úc, Trung Quốc và Mexico. “Mặc dù mẫu phần mềm độc hại này có những điểm tương đồng với các botnet khác, nhưng nó vẫn khác biệt so với các botnet được sử dụng rộng rãi như Mirai và Mozi,” các nhà nghiên cứu cho biết.

Đông Dương