هزاران روتر TP-Link توسط یک بات نت برای گسترش بدافزار آلوده شدند

امیرحسین شیرانی راد17 ساعت پیشآخرین به روز رسانی: 11 مارس 2025

0 0 خواندن این مطلب 2 دقیقه زمان میبرد

A person trying to set up a new Wi-Fi router

یک کمپین جدید Botnet از یک نقص ایمنی بسیار شدید در روترهای TP-Link بدون نصب بهره می برد و در حال حاضر در بیش از 6000 دستگاه گسترش یافته است.

براساس گزارش جدیدی از تیم CATO CTRL ، Balista Botnet از شکنندگی اجرای کد از راه دور استفاده می کند که مستقیماً بر روتر Archer AX-21 Link TP-Link تأثیر می گذارد.

Botnet می تواند به تزریق فرمان منجر شود که باعث می شود کد از راه دور (RCE) اجرا شود تا نرم افزار از راه دور بتواند به طور خودکار خود را از طریق اینترنت پخش کند. این نقص ایمنی بسیار شدید (تحت نظارت CV-2023-1389) برای گسترش سایر خانواده های بدافزار تا آوریل 2023 هنگامی که Mirai Botnet در حملات بدافزار استفاده می شود ، استفاده شد. این نقص همچنین به حملات بدافزار Condi و Androxgh0st متصل شد.

آخرین تلاش استثمار Balista 17 فوریه 2025 و CATO CTRL برای اولین بار آن را در 10 ژانویه 2025 برای اولین بار شناسایی کرد.

بیشتر هزاران دستگاه آلوده در برزیل ، لهستان ، انگلستان ، بلغارستان و Türkiye تشدید می شوند. با هدف قرار دادن Botnet ، سازمان های پزشکی/بهداشت ، خدمات و فناوری در ایالات متحده ، استرالیا ، چین و مکزیک.

چگونه Balista حمله می کند

ترتیب حمله به شرح زیر است: با افت نرم افزاری نرم افزار شروع می شود ، سپس با اسکریپت پوسته ای شروع می شود که برای خرید و اجرای مجرای اصلی در سیستم هدف برای معماری های مختلف سیستم طراحی شده است. در هنگام اجرای ، نرم افزار مخرب کانال فرمان و کنترل (C2) را در یک درگاه شماره 82 ایجاد می کند تا کنترل دستگاه را به دست بگیرد.

این به نرم افزار مخرب اجازه می دهد تا دستورات Shell را برای انجام حملات کنترل از راه دور و رد سرویس (DOS) اجرا کنند. همچنین سعی خواهد کرد پرونده های حساس را در سیستم بخوانید.

دستورات پشتیبانی شده شامل سیل (تحریک حمله به سیل) ، استثمار (با استفاده از CV-2023-1389) ، شروع (یک پارامتر اختیاری که با بهره برداری برای شروع ماژول استفاده می شود) ، (عملکرد ماشه ماژول را متوقف می کند) ، پوسته (اجرای فرمان پوسته لینوکس در سیستم محلی) و سرویس (برای پایان دادن به سرویس).

بدافزار Balista همچنین می تواند نمونه های قبلی را خاتمه دهد و هنگام شروع اجرای ، حضور خود را حذف کند. این طراحی شده است تا با تلاش برای بهره مندی از این نقص ، به روترهای دیگر گسترش یابد.

از آنجا که هر دو آدرس IP استفاده شده و زبان یک پایگاه ایتالیایی است ، محققان امنیت سایبر ادعا کردند که این بازیکن تهدید یک منشأ ناشناخته ایتالیایی است. با این حال ، اولین آدرس IP مورد استفاده دیگر کاربردی نیست ، اما با استفاده از مناطق شبکه TOR با یک نوع جدید جایگزین شده است. همه اینها نشان می دهد که بدافزار در حال توسعه فعال است.