В новом отчете команды Cato CTRL сообщается об активизации хакеров, которые запустили кампанию ботнета, нацеленную на роутеры TP-Link. Уже более 6000 устройств стали жертвами атак.
Об этом сообщает ProIT
Ботнет под названием Ballista использует уязвимость для удаленного выполнения кода (RCE) в модели TP-Link Archer AX-21. Вредоносное программное обеспечение сначала загружается на устройство и активирует скрипт, который получает и выполняет необходимый бинарный файл. После этого устанавливается канал управления (C2) на порту 82, что предоставляет хакерам полный контроль над зараженными устройствами.
Вредоносное программное обеспечение способно выполнять удаленные команды, осуществлять DDoS-атаки, просматривать конфигурационные файлы, а также скрывать свое существование. Кроме того, оно может заражать другие роутеры. Большинство из тысяч зараженных устройств находятся в Бразилии, Польше, Великобритании, Болгарии и Турции. Атаки особенно нацелены на медицинские и технологические компании в США, Австралии, Китае и Мексике.
Исследователи отметили, что исходный IP-адрес и язык указывали на итальянских хакеров. Однако начальный IP-адрес уже неактивен, его заменил новый вариант, использующий домены сети TOR, что свидетельствует о активной разработке вредоносного программного обеспечения.
Эксперты настоятельно рекомендуют пользователям срочно установить патч для роутера TP-Link Archer AX-21, который доступен на официальном сайте компании вместе с инструкциями по настройке.
«Пользователей Telegram атакует EvilVideo — как избежать эксплойта»
